不正を予防するには「盗人のように考えろ」
高い能力を備えた者が、相手からの信頼を逆手に取り、例外運用を悪用して管理の盲点を突く。不正リスクが顕在化する典型的なパターンだ。おかしな言い方だが、実行不可能な不正は起きない。「あり得ない」と目を背けても何の解決にもならない。
不正対策の専門家であるCFE(公認不正検査士)は、“Think like a thief.”という言葉を肝に銘じている。「盗人のように考えろ」とは、不正リスクを評価する際には、
「自分がこの業務の担当者だったら、どんな不正を思いつくだろうか」
という視点であらゆる手口を検討しろということである。そうすることで「想定外」のリスクを減らすことができる。各システムベンダーは、今回の事件を受けて「自分たちのところでは同じようなことが起きないか?」と自問してほしい。
NTTデータは緊急対策として、重要情報へのアクセスを専用ツール経由に限定し、システム運用者や開発技術者が暗証番号を見られないようにしたという。それもひとつの防止策だろう。
とはいえ、その抜け穴をさらに突いてくる不正もありうる。不正リスクを完璧にゼロにするのは無理だし、コスト面からも現実的ではない。まずは例外運用を認めず、できる社員に任せきりにしないなどの基本を貫き通すことから心がけたい。(甘粕潔)
