不正の3要素(クレッシーの不正の三角形)|情報処理安全確保支援士 シラバス準拠予想問題2 問11
出典:1.3:脅威
分野:セキュリティ / 情報セキュリティ
内部不正の発生メカニズムを説明する不正の3要素の組合せとして,最も適切なものはどれか。
- ア:人の心理的な隙や信頼関係を悪用して,パスワードや機密情報を聞き出すための誘導,なりすまし,のぞき見である。
- イ:情報資産に対するリスクを構成する要素として,保護すべき資産,その資産に被害を与える脅威,脅威に悪用される脆弱性を示すものである。
- ウ:不正を行う理由となる動機,不正を実行できる環境である機会,不正行為を自分の中で納得させる正当化である。
- エ:一人の担当者に権限が集中しないように,申請,承認,実行,記録などの役割を分け,相互けん制を働かせる管理策である。
TSUNAGARU-ADVICE
まず押さえたいこと
不正の3要素は、内部不正が起こる背景を「動機」「機会」「正当化」の3つで説明する考え方です。金銭的困窮や不満などの動機、不正を実行できる権限や監視不足などの機会、自分の行為を納得させる正当化がそろうと、内部不正のリスクが高まると考えます。
迷ったときの判断軸
人の心理を悪用して情報を聞き出すものはソーシャルエンジニアリング、資産・脅威・脆弱性の組合せはリスクの考え方、申請・承認・実行などを分けるものは職務分離です。不正の3要素は、なぜ不正をするのか、なぜ実行できるのか、なぜ自分を正当化できるのかで判断しましょう。
科目Bにつなげるために
科目Bでは、内部不正対策として、権限管理・ログ監視・職務分離・上長承認・教育・相談窓口などをどう組み合わせるかが問われることがあります。不正の3要素を使うと、動機を減らす対策、機会を減らす対策、正当化を防ぐ対策に分けて整理できます。
不正の3要素は、内部不正が発生するメカニズムを、動機・機会・正当化の3つで説明する考え方です。
動機は、不正を行う理由や圧力です。機会は、不正を実行できる環境や統制の弱さです。正当化は、「これくらいなら問題ない」「自分は正当に評価されていない」など、不正行為を自分の中で納得させる心理です。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:人の心理的な隙や信頼関係を悪用して,パスワードや機密情報を聞き出すための誘導,なりすまし,のぞき見である。
⇒ソーシャルエンジニアリングの説明です。人の心理や行動の隙を突いて機密情報を入手する攻撃手法であり、内部不正の発生要因を動機、機会、正当化で整理する不正の3要素とは異なります。
イ:情報資産に対するリスクを構成する要素として,保護すべき資産,その資産に被害を与える脅威,脅威に悪用される脆弱性を示すものである。
⇒リスクの構成要素に関する説明です。情報セキュリティ上のリスクは、資産、脅威、脆弱性などの関係で考えます。不正の3要素は、内部不正を行う人の心理や環境に着目した考え方です。
エ:一人の担当者に権限が集中しないように,申請,承認,実行,記録などの役割を分け,相互けん制を働かせる管理策である。
⇒職務分離の説明です。職務分離は、不正や誤りを防ぐために権限を分散する管理策です。不正の3要素のうち、特に「機会」を減らす対策になり得ますが、3要素そのものの組合せではありません。