対象試験と出題頻度
この記事では、情報処理技術者試験で問われる「機会(Opportunity)」について、IT初心者にもわかりやすく解説します。
対象試験と出題頻度は以下のとおりです。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(覚えておくと有利)
用語の定義
機会(Opportunity)とは、不正のトライアングルを構成する3要素の1つで、一言で言うと「不正行為を実行できる環境や状況」のことです。
イメージとしては、「泥棒が入れる『隙』がある家」のようなものです。
どれだけ正直な人でも、「誰も見ていない」「やってもバレない」「簡単にできてしまう」という環境があれば、魔が差して不正に手を染めてしまう可能性があります。
逆に言えば、機会を取り除くことで、不正の発生を大幅に抑制できます。機会は「動機(Motivation)」「正当化(Rationalization)」と異なり、技術的・物理的な対策でコントロールしやすいという特徴があります。
📊 不正のトライアングルと「機会」の位置づけ
| 要素 | 意味 | 対策のしやすさ |
|---|---|---|
| 動機 (Motivation) |
不正を行うきっかけ・プレッシャー | 人の心理に関わるため対策が難しい |
| 機会 (Opportunity) |
不正を実行できる環境・状況 | 技術的・物理的対策でコントロールしやすい |
| 正当化 (Rationalization) |
不正を自分の中で正当化する心理 | 教育やルール周知で対応 |
解説
機会(Opportunity)は、不正のトライアングル(Fraud Triangle)の中で、最も対策を講じやすい要素とされています。不正のトライアングルは、アメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論で、人が不正を行う背景には「動機」「機会」「正当化」の3要素があるとされています。
人の心理に働きかける「動機」や「正当化」への対策は難しい面がありますが、「機会」は監視カメラの設置、アクセス権限の管理、ログの記録といった技術的・物理的な手段で抑制することができます。
不正の「機会」が生まれやすい環境には、以下のような特徴があります。
- 監視体制の欠如:監視カメラがない、上司や同僚の目が届かない、一人で作業する時間が長いなど、「誰も見ていない」状況。
- アクセス権限の過大付与:業務上必要のない情報やシステムにアクセスできてしまう、管理者権限が多くの人に与えられているなど。
- チェック体制の不備:一人で業務を完結できる、ダブルチェックがない、承認プロセスが形骸化しているなど。
- ログの未取得・未監視:誰がいつ何をしたか記録が残らない、記録があっても確認していないなど。
- 物理的セキュリティの甘さ:金庫や書庫に誰でも入れる、USBメモリの使用が自由、入退室管理がないなど。
💡 なぜ「機会」への対策が重要なのか?
IPAの「組織における内部不正防止ガイドライン」では、内部不正防止の基本原則として「犯行を難しくする(やりにくくする)」「捕まるリスクを高める(やると見つかる)」が示されています。これらはいずれも「機会」を減らす対策です。
たとえば、アクセス権限を最小限にすれば「やりにくく」なり、ログを記録・監視すれば「見つかる」リスクが高まります。技術的な対策は導入コストこそかかりますが、一度整備すれば継続的に効果を発揮するため、内部不正対策の要となります。
機会(Opportunity)を減らす具体的な対策
機会を減らすための対策は、「やりにくくする」「見つかるようにする」「割に合わなくする」の3つの観点から考えます。
- 犯行を難しくする(やりにくくする):アクセス権限の最小化(最小権限の原則)、職務分掌(一人に権限を集中させない)、USBメモリなど外部記憶媒体の使用制限、重要情報の暗号化、物理的な入退室管理などが該当します。
- 捕まるリスクを高める(やると見つかる):アクセスログ・操作ログの取得と監視、監視カメラの設置、定期的な監査・棚卸し、不正検知システム(SIEM等)の導入などが該当します。「監視されている」という意識を持たせることで、心理的な抑止効果も期待できます。
- 犯行の見返りを減らす(割に合わない):情報の暗号化(持ち出しても使えない)、DLP(Data Loss Prevention:情報漏洩防止)システムの導入、透かし(ウォーターマーク)の埋め込みなどにより、不正行為をしても利益が得られない状態を作ります。
⚠️ 実務でのポイント
機会を減らす対策は、業務効率とのバランスが重要です。セキュリティを厳しくしすぎると業務が回らなくなり、逆にシャドーITなど別のリスクを生む可能性があります。
① 最小権限の原則:業務に必要な最低限の権限のみ付与し、定期的に見直す
② 職務分掌:申請・承認・実行を別の担当者が行うようにし、一人で完結させない
③ ログの活用:取得するだけでなく、定期的に確認・分析する体制を整える
④ 退職者管理:退職時には即座にアカウント削除・権限剥奪を行う
試験ではこう出る!
情報セキュリティマネジメント、ITパスポート、基本情報技術者、応用情報技術者で、不正のトライアングルと合わせて出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 不正のトライアングル(Fraud Triangle)の3要素
- 動機(Motivation)・機会(Opportunity)・正当化(Rationalization)
- 機会=不正を実行できる環境・状況
- 3要素の中で技術的・物理的対策でコントロールしやすい
- 対策:アクセス権限管理、ログ監視、監視カメラ、職務分掌
試験問題で「不正を実行できる環境や状況」や「監視体制の欠如、権限管理の不備」といった記述があれば、それは「機会(Opportunity)」に関する内容です。
また、「3要素の中で技術的対策によりコントロールしやすい要素はどれか」という問われ方をされた場合、答えは「機会」です。
📊 機会(Opportunity)が生まれる環境と対策(試験対策)
| 機会が生まれる環境 | 具体的な対策 |
|---|---|
| 監視体制がない | 監視カメラの設置、ログの取得・監視 |
| アクセス権限が過大 | 最小権限の原則、定期的な権限見直し |
| 一人で業務が完結する | 職務分掌、ダブルチェック体制 |
| 物理セキュリティが甘い | 入退室管理、USBメモリ使用制限 |
| 持ち出しても価値がある | 情報の暗号化、DLPの導入 |
📝 IPA試験での出題ポイント
「機会(Opportunity)」は不正のトライアングルの一部として出題されることが多いです。
「動機(Motivation)」「正当化(Rationalization)」との違いを明確に理解しておきましょう。
特に「機会は技術的対策でコントロールしやすい」という点は重要です。英語表記(Opportunity)で出題されることもあるため、3要素すべての英語名も覚えておくと安心です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 不正のトライアングルにおける「機会(Opportunity)」に関する説明として、最も適切なものはどれでしょうか?
- A. 不正を行うきっかけとなる金銭的な問題や会社への不満などの心理的プレッシャー
- B. 監視体制の欠如や権限管理の不備など、不正行為を実行できる環境や状況
- C. 「会社が悪い」「みんなやっている」など、不正行為を自分の中で正当化する心理
正解と解説を見る
正解:B
解説:
不正のトライアングルにおける「機会(Opportunity)」とは、不正行為を実行できる環境や状況のことです。監視体制の欠如、アクセス権限の過大付与、チェック体制の不備、ログの未取得・未監視、物理的セキュリティの甘さなどが該当します。「機会」は、不正のトライアングルの3要素(動機・機会・正当化)の中で、技術的・物理的な対策によって最もコントロールしやすい要素とされています。
選択肢Aは「動機(Motivation)」の説明です。選択肢Cは「正当化(Rationalization)」の説明であり、いずれも「機会」とは異なる要素です。
