Go to Qiita Advent Calendar Top
LoginSignup
9
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@yamada_sec

人は「見られている」と思うだけで行動が変わる―セキュリティ心理学×抑止設計で考える内部不正対策

Last updated at Posted at 2025-12-17

人は「見られている」と思うだけで行動が変わる

セキュリティ心理学×抑止設計で考える内部不正対策

こんにちは、山田です。
2025年12月17日 セキュリティ心理学会で登壇してきました。

本記事は、セキュリティ心理学会で登壇した内容をもとに、
内部不正対策を「心理学×抑止設計」の観点から整理したものです。

本記事は、セキュリティ心理学会LTでの登壇内容をもとに、
セキュリティコンサルタントの立場から
内部不正対策を「心理学 × 抑止設計」の観点で整理したものです。
筆者は心理学の専門家ではなく、
主にセキュリティ運用・ガバナンス・内部不正対策の実務経験を背景に、 心理学の概念(ホーソン効果等)を実務への応用視点で解釈しています。

そのため、学術的に厳密な表現や定義とは異なる点、
また誤りや過度な単純化が含まれている可能性があります。

本記事は「心理学を現場設計にどう活かせるか」という
実務者向けの問題提起としてご覧いただければ幸いです。
ご指摘・補足・反論などがあれば、ぜひコメントでご教示ください。

多くの内部不正対策は、
検知・調査・事後対応に重点が置かれがちです。

一方で、実務に携わる中で強く感じるのは、
「そもそも起こらない構造を作る方が、
はるかにコスト効率が高く、現場も疲弊しない」
という点です。

本記事では、
内部不正を「人の行動」という観点から捉え直し、
心理学の考え方をヒントに
抑止設計として何ができるのかを整理していきます。

問題提起:内部不正は「技術」ではなく「人の行動」から生まれる

image.png

多くの企業では、Firewall や EDR、IAM など
技術的な対策には十分な投資がされています。

しかし、実際に内部不正を引き起こすのは
システムではなく 人の判断と行動 です。

内部不正は、

  • システムのバグ
  • 設定ミス

ではなく、
組織の仕組みと人間の心理の「隙間」 で発生します。

不正のトライアングル:なぜ内部不正は起きるのか

image.png

内部不正は、以下の3要素が揃ったときに起きると言われています。

  • 動機:金銭的プレッシャー、不満、ストレス
  • 正当化:「自分は悪くない」「会社も悪い」という言い訳
  • 機会:やろうと思えばできてしまう環境

動機や正当化は個人の内面にあり、
企業が完全に制御することはできません。

しかし、機会だけは別です。

なぜ「機会」を潰すことが最重要なのか

image.png

機会は、以下のような
組織の設計によって直接コントロール可能です。

  • 権限設計
  • 職務分掌
  • 承認プロセス
  • ログ監視

例えば、

  • 一人で申請・承認・処理まで完結できる
  • ログは取っているが誰も見ていない
  • 監視されているかどうかが従業員に伝わっていない

こうした状態は、
不正を「実行可能」にしてしまう環境です。

機会に手を入れることで、

  • 未然抑止ができ
  • 事後対応コストを下げ
  • 組織の公平性も高める

非常に費用対効果の高い対策になります。

ホーソン効果:見られていると思うだけで行動が変わる

image.png

ここで心理学の話です。

ホーソン効果とは、
人は環境条件が変わるからではなく、
「見られている」「注目されている」と感じることで
行動を変えるという心理現象です。

重要なのは、
実際に厳密な監視が行われているかどうかではありません。

「見られていると思っているかどうか」
この認知が行動を左右します。

内部不正対策への応用

内部不正も同じです。

  • バレないと思えばやる
  • 見られていると思えばやらない

この単純な心理が、実務では非常に強く働きます。

「あなたの操作は記録されています」
「後で確認されます」

この認知があるだけで、
不正のトライアングルの最後のピースである
「機会」 が崩れます。

抑止設計としての「監視の透明化」

image.png

ここで重要なのが、
監視は隠さない方がいいという点です。

隠す監視は、
「今回はたまたま見られていないかもしれない」
という期待を残します。

一方、見せる監視は、
常に見られているという前提を作ります。

さらに、

  • 何を
  • なぜ
  • 誰が
  • どれだけ

を明示することで、
監視は「疑い」ではなく
ルールとしての安全装置になります。

結論:心理学×抑止設計が内部不正を止める

image.png

内部不正対策の本質は、
人の心理を前提にした抑止設計です。

最強の内部不正対策は、以下の3つの組み合わせです。

  1. 可視化

    • 監視の存在・範囲・目的を明確化する

  2. 権限・分掌

    • 最小権限により機会を構造的に削減する

  3. フィードバック

    • 即時通知・教育・レビューのループを回す

これらを組み合わせることで、
不正は「検知するもの」ではなく
「起きにくい構造」 になります。

おわりに

強い内部不正対策とは、
技術が強いことではありません。

人が不正を選ばなくなる環境を
あらかじめ設計できていることです。

内部不正対策は、
人を疑うための仕組みではなく、
人と組織を守るための行動デザインだと考えています。

内部不正対策のゴールは、
不正を見つけることではなく、
不正を「選ばせない」 ことです。

9
9
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
9
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?