結託と私
あけましておめでとうございます。昨年は激動の一年でありました。東日本大震災により被害を受けられた皆様には、謹んでお見舞い申し上げますとともに被災地域の一日も早い復興を心よりお祈り申し上げます。
思い返すと昨年は空気が乾燥しただの立ちコロがどうだのどうでもいいことばかり書いておりました。その頃世間はといえば大相撲の八百長がどうの歌舞伎俳優の暴行被害がどうの、と、やはり平和の極みであったことがうかがえます。あの空気を取り戻すことはもはや叶わないことと思いますが、せめてこのコラムぐらいは変わらぬ空気でやっていきたいと思いますので、今年も変わらぬご指導ご鞭撻の程お願い申し上げる次第でございます。
さて、本日のテーマは「結託」でございます。何を隠そう筆者はこの言葉が大好きでして、この言葉を使った瞬間に問答無用で悪役決定してしまう力強さに心底惚れております。悪役が「協力」したって別にいいじゃないかと思いますがそこはそれ。やはり癒着や結託してこそ人間味のある社会というものなのでしょう。
免責事項:本コラムには反社会的または反市場的な事象に関する記述が存在しますが、これは反社会的行為または反市場的行為を推奨または助長するものではなく、本コラムにより何らかの不正などが発生したとしても筆者および当社は一切の責任を負いません。尚、筆者および当社はコンプライアンスを遵守し、良き社会の一員として日々暮らして参りたく存じますのでそこのところお間違えのなきようお願い申し上げます。
悪事から身を守るにはまず悪事を構成できる能力を身につけるべき、というのは若干言いすぎではありますが、とはいえ悪事を全く知らずして悪事に即応できるわけもないのであります。コンピュータのセキュリティにしたって、一回も侵入したこともない奴がセキュリティコンサルタントだなんてちゃんちゃら(以下略かつ冗談。注・筆者はセキュリティコンサルタントではありません。)
その意味で、社内規定やワークフロー、内部統制のコントロールなどを見るにつけどうやったらこのルールを掻い潜って社内資産の換金ができるか、などを真剣に考えてしまうことは、(考えるだけなら)それほど悪いことではなく、むしろそうした悪事を防ぐためには積極的に(しつこいですが考えることだけ)行うべきことと思います。
その際には、倫理観だとかモラルだとかそういったものを一切廃し、ものすごく現実的に考えることが必要です。実際には日本社会のモラルはまだまだ捨てたものではなく、現場で不正を企図する上では倫理観やモラルという点が一番の障壁になるであろうことは想像に難くないのですが、しかしながら守る立場からすると、人によって千差万別となり得る倫理観だとかモラルだとか、そういったあやふやなものに頼るわけにはいかないわけですね。
また、大多数の人が倫理観やモラルを維持していたとしても、極小数の人がそれを台無しにしてしまうこともあります。例えば社員が1万人もいたらいろいろな悩みを抱えていらっしゃる方もいらっしゃるでしょうし、中にはのっぴきならない立場に追い込まれている方もいらっしゃるかもしれないわけです。かかる状況下でモラルだなんだと言われましても無茶言うなと。
話が横道にそれましたが、元に戻して。ルールを掻い潜る上で、最大の武器は「結託」です。即ち、内部牽制者が邪魔なら牽制する者と利害を一致させればよい。ワークフロー上の承認者が邪魔ならば承認者を抱き込めば万事OK。もし無尽蔵の資源(資金、時間その他)が使えるのならば、掻い潜れないルールはありません。極論すれば、あるエンティティについて丸ごと買収してしまえばそのエンティティの内部規定は全て無視できます。そこまでいかずとも、例えば取締役会のメンバーを数人買収するだけでも、さぞや色々なことができることでありましょう。そこで考えるべきは、最小の投資(結託するための費用等)で最大の利得(換金可能な社内資産の持ち出し)を得るにはどうしたらよいかという点に絞られることになります。
例えば5人が関与するワークフローにおいて、2人が結託すれば、不正な申請であっても通ってしまい、後日の内部監査までバレないものとします。このとき、2人とものっぴきならない事情を抱えていて、急場の現金がすぐにでも必要という状況ならば、もしかするともしかするかもしれません。
総勢n人の組織において、結託した人数がk-1人までならなんとか不正を事前に検知できるが、k人が結託した場合には不正が通ってしまう、と形式化した場合、守るべき資産の価値にもよりますが、ほとんどの組織ではk=2以下になるのではないかと思います。即ち、2人が結託したら何でもやり放題。
似たような話が符号理論にもあって、例えばみなさんお馴染みのDVDだとかCDだとかの読み取りの場合。読み取り面にかなり大きなキズがついてもなんてことなく読めたりします。または2次元バーコードなんていうのも、わりと大きな面積が隠されても普通に読み取れたりします。これらはすべて誤り検出/訂正符号のおかげでありまして、例えばnビットのうちk-1ビットまでの誤りを訂正可能、kビットまでの誤りを検出可能、とかそんな能力を持ってます。具体的には「A」を「0000」で、「B」を「1111」というビット列でそれぞれ表現することにしておいて、読み取った内容が「0010」だったとすればそれは多分「A」で、3ビットめだけちょっと間違っちゃったかな、ということにしてしまえというような仕組みです。この場合には4ビットのうち1ビットまで誤り訂正可能、2ビットまで誤り検出可能、というわけですね。実際にはハミングだのリードソロモンだの色々あるようでして、昔勉強した記憶がありますが一切忘れてしまいました。すみません今井先生。
ただビット列と人とは、空気を読む能力が圧倒的に違います。単なるビットは「奴と奴も寝返るだろうから、ここで一気に押せばいけるはずっ…!」などと考えた上でエラーを発生させるわけではなく、単純に熱雑音とかランダムな感じでエラーになる(バースト誤りもあるけど)のに対し、人はいけると判断した上でないと結託したり不正を働いたりしないわけですね。
また横道にそれてしまいました。何の話だっけ。そうそう、不正の費用対効果のお話でした。これは即ち、逆に守る方から考えると、不正を費用対効果の面で見合わないものにしてしまえば(個人的怨恨とかじゃない限り)誰も不正をしなくなるわけで、その観点からは例えば(1)係わる人数を極限まで少なくした上で、(2)係わる人全員に十分な報酬(金銭だけでなく、組織への所属感や名誉、その他)を用意する、という手段は(組織が大きいと難しいとは思いますが)割と有効なのではないかと思います。係わる人数がゼロになれば(人間による)不正は絶対起きません。素晴らしい。健康のためなら死んでもいい感じですね。
最近はAPTだとか外部からのソーシャルエンジニアリングが本格化しているようで、今のところは「結託する=抱き込む」よりは「善意と不注意と放置されてるセキュリティホール」を組み合わせてウラン濃縮用遠心分離機を壊した方がコスト安なのかもしれません。ただ結託マニアとしてはやはり正攻法で、キャリアを棒に振る覚悟で為せば滅せぬもののあるべきか、と思う次第でございます。
雪が降ったりと寒い日が続いておりますが、ご自愛くださいませ。ではまた次回お会いしましょう。さようなら。