平成31年度 春期 ITパスポート試験 問65 解説 不正のトライアングル

不正のトライアングルとは、犯罪学者のドナルド・クレッシーが提唱した理論です。この問題は、構成する3つの要素である「機会」「正当化」「動機（プレッシャー）」の組み合わせを覚えているかどうかが判断の根拠となります。

不正のトライアングルの3要素

1. 機会 物理的に不正を働ける環境のことです。例えば、重要な情報にアクセスできる権限を不必要に持っている、監視カメラがない、ダブルチェックが機能していないといった管理体制の不備がこれに該当します。この機会を物理的に排除することが、企業における最も直接的な対策です。

2. 動機（プレッシャー） 不正をしなければならない、あるいはしてしまう背景にある心理的な圧力です。個人的な借金や生活苦などの金銭的な悩みだけでなく、ノルマが厳しすぎて達成できないという焦りや、会社への不満、あるいは高い評価を得たいという過度な野心も動機に含まれます。

3. 正当化 自分が行う不正を、自分の中で納得させる論理のことです。「これくらいは皆やっている」「会社からこれだけ働かされているのだから、これくらいの埋め合わせは当然だ」「一時的に借りるだけで、すぐに返せば問題ない」といった身勝手な理屈を指します。

実務での活用と問題の傾向

この理論は情報セキュリティ管理において非常に重要です。ITパスポート試験では、単に用語を問うだけでなく、ケーススタディとして出題されることもあります。

例えば、「アクセス権限を最小限にする」という施策は「機会」を減らす対策、「相談窓口の設置」は「動機」を解消する対策、「コンプライアンス研修の徹底」は「正当化」を許さない組織文化を作る対策と位置付けられます。

もし「不正を防ぐために最も有効な対策はどれか」といった問題が出た場合、物理的な抜け穴である「機会」を物理的に制限する手法（アクセス制御やログ監視など）が正解となるケースが多く見られます。また、試験では「動機」が「プレッシャー」という言葉に置き換わって出題されることもあるため、セットで覚えておくと混乱しません。

IPA 独立行政法人情報処理推進機構：中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/中小企業向けサイト/index.html 日本公認不正検査士協会：不正のトライアングル https://www.acfe.jp/fraud-triangle/