対象試験と出題頻度
この記事では、情報処理技術者試験で問われる「不正のトライアングル」について、IT初心者にもわかりやすく解説します。対象試験と出題頻度は以下のとおりです。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★★☆
ランクA(必ず覚えておくべき)
用語の定義
不正のトライアングル(Fraud Triangle)とは、一言で言うと「人が不正行為を行うときに揃う3つの要素(動機・機会・正当化)をモデル化した理論」のことです。
イメージとしては、「火が燃えるために必要な3要素(燃料・酸素・熱)」のようなものです。
3つの要素がすべて揃うと火災が発生するように、「動機」「機会」「正当化」の3つが揃うと、人は不正行為を起こしやすくなると考えられています。逆に言えば、この3要素のうち1つでも取り除くことで、不正を防止できるという考え方が、内部不正対策の基本となっています。
📊 不正のトライアングル 3つの要素
| 要素 | 意味 | 具体例 |
|---|---|---|
| 動機 | 不正を行うきっかけ・プレッシャー | 借金、ノルマ、会社への不満、転職先への手土産 |
| 機会 | 不正を実行できる環境・状況 | 監視がない、権限が過大、チェック体制の不備 |
| 正当化 | 不正を自分の中で正当化する心理 | 「会社が悪い」「みんなやってる」「後で返す」 |
解説
不正のトライアングルは、アメリカの犯罪学者ドナルド・R・クレッシーが1950年代に提唱した理論です。クレッシーは横領犯への調査研究を通じて、不正行為が発生する背景には共通するパターンがあることを発見しました。この理論は、企業の内部不正対策やセキュリティ対策の基礎として、現在も広く活用されています。
不正のトライアングルの3要素について、詳しく見ていきましょう。
- 動機(Motivation / Pressure):不正を行うきっかけとなる内的要因です。金銭的な困窮(借金、生活苦)、業務上のプレッシャー(過大なノルマ、納期)、会社への不満(不当な評価、人間関係)、転職先への手土産など、さまざまな要因が動機となります。「プレッシャー」や「インセンティブ」とも呼ばれます。
- 機会(Opportunity):不正を実行できる環境や状況です。監視体制の不備、過大なアクセス権限、一人で業務を完結できる環境、チェック体制の欠如などが該当します。「やろうと思えばできてしまう」状態があると、不正の機会が生まれます。
- 正当化(Rationalization):不正行為を自分の中で「仕方ない」「許される」と納得させる心理です。「会社の扱いがひどいから当然」「自分が作った資料だから」「みんなやっている」「後で返すから問題ない」といった言い訳で、自分の行為を正当化します。「姿勢」とも呼ばれます。
💡 なぜ不正のトライアングルを理解することが重要なのか?
不正のトライアングルを理解することで、「どこを対策すれば不正を防げるか」が明確になります。
3要素すべてが揃わなければ不正は起こりにくいため、1つでも要素を取り除く対策を講じることが有効です。
特に「機会」は、監視カメラの設置、アクセス権限の管理、ログの記録・監視など、技術的・物理的な対策で比較的コントロールしやすい要素です。
一方、「動機」や「正当化」は人の心理に関わるため、職場環境の改善やセキュリティ教育など、組織的な取り組みが必要になります。
IPAの「組織における内部不正防止ガイドライン」でも、不正のトライアングルの考え方に基づいた「内部不正防止の基本原則」が示されています。この基本原則は、3要素に対応した5つの観点から不正を防ぐアプローチを提唱しています。
内部不正防止の基本原則(IPAガイドライン)
IPAのガイドラインでは、不正のトライアングルに基づき、以下の5つの基本原則が示されています。
- 犯行を難しくする(やりにくくする):【機会への対策】アクセス権限の最小化、情報の暗号化、USBメモリの使用制限など、技術的・物理的な対策で不正行為を実行しにくくします。
- 捕まるリスクを高める(やると見つかる):【機会への対策】アクセスログの取得・監視、監視カメラの設置、定期的な監査により、不正が発覚するリスクを高めます。
- 犯行の見返りを減らす(割に合わない):【機会への対策】情報の暗号化やDLP(Data Loss Prevention)により、情報を持ち出しても価値がない・使えない状態にします。
- 犯行の誘因を減らす(その気にさせない):【動機への対策】適正な人事評価、職場環境の改善、過度なノルマの見直しなど、不満や動機を生まない組織づくりを行います。
- 犯罪の弁明をさせない(言い訳させない):【正当化への対策】セキュリティポリシーの周知、誓約書の取得、コンプライアンス教育の実施により、「知らなかった」「仕方なかった」という言い訳を封じます。
⚠️ 実務でのポイント
不正のトライアングルを活用した対策では、3要素それぞれへのアプローチが重要です。
① 機会を減らす(最も対策しやすい):アクセス権限管理、ログ監視、監視カメラ、入退室管理、職務分掌(一人に権限を集中させない)
② 動機を減らす:公正な評価制度、過度なノルマの見直し、相談窓口の設置、ワークライフバランスの確保
③ 正当化を防ぐ:セキュリティ教育、行動規範の周知、誓約書の取得、過去の不正事例の共有
試験ではこう出る!
情報セキュリティマネジメント、ITパスポート、基本情報技術者、応用情報技術者で出題される重要テーマです。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 3要素:動機(Motivation)・機会(Opportunity)・正当化(Rationalization)
- 提唱者:ドナルド・R・クレッシー(アメリカの犯罪学者)
- 内部不正防止の基本原則(IPAガイドライン)
- 機会=技術的対策でコントロールしやすい
- 動機=プレッシャー、インセンティブとも呼ばれる
- 正当化=姿勢とも呼ばれる
試験問題で「不正行為が発生する3つの要素」や「動機・機会・正当化」といった記述があれば、それは「不正のトライアングル」に関する問題です。
また、「3要素のうち1つでも取り除くことで不正を防止できる」という考え方も押さえておきましょう。
📊 不正のトライアングルと対策の対応(試験対策)
| 要素 | 対策の方向性 | 具体的な対策例 |
|---|---|---|
| 動機 | その気にさせない | 公正な評価、ノルマ見直し、相談窓口 |
| 機会 | やりにくくする/見つかるようにする | 権限管理、ログ監視、監視カメラ |
| 正当化 | 言い訳させない | 教育、ポリシー周知、誓約書 |
📝 IPA試験での出題ポイント
不正のトライアングルは、情報セキュリティマネジメント試験で特に頻出のテーマです。
3つの要素「動機・機会・正当化」を正確に覚えることが最重要です。
選択肢で「脅威・脆弱性・資産」(リスク分析の要素)や「機密性・完全性・可用性」(情報セキュリティの3要素)と混同させる問題が出ることがあるので注意しましょう。
また、「機会は技術的対策でコントロールしやすい」「動機はプレッシャーとも呼ばれる」といった補足知識も問われることがあります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 不正のトライアングルに関する説明として、最も適切なものはどれでしょうか?
- A. 人が不正行為を行う背景には「動機」「機会」「正当化」の3要素があり、これらが揃うと不正が発生しやすくなるという理論
- B. 情報セキュリティを確保するために必要な「機密性」「完全性」「可用性」の3つの要素を表した概念
- C. リスク分析において考慮すべき「脅威」「脆弱性」「資産」の3つの要素を表した概念
正解と解説を見る
正解:A
解説:
不正のトライアングルは、アメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論で、人が不正行為を行う背景には「動機(Motivation)」「機会(Opportunity)」「正当化(Rationalization)」の3つの要素があり、これらが揃うと不正が発生しやすくなるとされています。動機は不正を行うきっかけ(金銭問題、ノルマなど)、機会は不正を実行できる環境(監視の欠如、権限の集中など)、正当化は不正を自己弁護する心理(「会社が悪い」など)を指します。この理論に基づき、3要素のいずれかを取り除く対策を講じることで、内部不正を防止できます。
選択肢Bの「機密性・完全性・可用性」は情報セキュリティの3要素(CIA)です。選択肢Cの「脅威・脆弱性・資産」はリスク分析における3要素であり、いずれも不正のトライアングルとは異なる概念です。
