チェック項目で弱点克服!内部不正の防止策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

チェック項目で弱点克服!内部不正の防止策

2014/03/18


 今年2月、銀行ATMシステムの運用管理を担当するサービス業者の部長が預金口座データを入手して偽のキャッシュカードを作成、不正に現金を引き出していた事件が発覚した。また組織の内部関係者が組織が保有する個人情報を数万〜数十万人分の規模で意図的に流出させる事件がこれまでに何度も繰り返し起きている。内部不正は最大のセキュリティリスクと言って過言ではない。今回は、ITツールを使いこなしてもなかなか防ぐことが難しい内部不正の原因と対策を考えていく。

内部不正

「職歴30年の部長がナゼ…」 こうして起きた!大手地銀のカード偽造事件

 あなたは銀行内の一角にある調査解析専門室にいる。他の部署からは隔離され、出入りが厳しく制限されているその部屋の中にはATMの障害解析用コンピュータがあり、銀行ATMの口座情報や暗証番号の暗号化を解いた生データが参照できる。あなたはATM保守運用のエキスパートで、口座データさえわかれば別室のテスト用キャッシュカード作成装置で簡単にキャッシュカードが作成可能な権限を持っている。正義感の強いあなたなら、当然業務を淡々とこなすのみだろう。しかし小部屋のどこかから悪魔のささやきを聞いてしまう人もいる。
 2014年2月に発覚した横浜銀行のキャッシュカード偽造、現金引き出し事件はこんな環境で発生した。容疑者は同行のATMシステムの保守管理にあたる運用会社で職歴30年という部長職。社内のみならず銀行からも絶大な信頼が寄せられていた。
 この立場を利用して、容疑者は最大132口座のデータを復号して取得、うち48口座の偽造キャッシュカードを作成して、合計約2400万円を引き出したとされている(同月に神奈川県警が逮捕)。

図1 横浜銀行のカード偽造事件の概要
図1 横浜銀行のカード偽造事件の概要

 この事件は、業務委託元と委託先/再委託先/再々委託先といった多重請負で発生しがちな管理のすき間を突いたものだった。同時に重要データの取り扱い権限が1人に集中してしまう体制の危うさを物語るものでもある。また、同業務では暗証番号は必ずしも必要なものではなかったのに、他のデータと一緒に閲覧可能になっていた管理の甘さも指摘されている。
 しかしこれは初めてのケースというわけではない。同様の事件には2006年に仙台銀行の受託データセンタのシステム責任者が408人分のカード番号や暗証番号などを印刷し、17人のカードを偽造してATMから合計約3100万円を引き出した事件、2012年に地銀共同センターの委託先のシステム開発に従事していた58歳のエンジニアがATMの取引データを不正取得して偽造カードを作成、約2000万円を引き出した事件などがある。
 内部不正に関して本コーナーでは「特権ID管理」記事(2013年12月)などで関連情報をまとめているが、これら事例はITソリューションだけでは内部不正が防げない実情を示している。今回は、特に組織対策と人的対策に重点を置いて考えてみたい。


1

中小企業の約2割が“知的財産の流出被害”を経験!?従業員からの情報漏洩リスク

 内部不正の「内部」には、経営層や正規従業員、臨時雇用従業員、派遣社員などすべてが含まれるとともに、時には退職者や業務委託先も含まれる。上記のような金銭被害をもたらした事件が数々あるが、頻度が多いのは機密情報の意図的な漏洩だ。情報を売却する場合もあれば、転職や独立の際に有利になるように利用する場合もある。個人情報については個人情報保護法や経済産業省のガイドラインのおかげで漏洩事実が公表されることが多いが、組織の機密情報は内部で発覚したとしても、刑事告発するなどの必要がない限り、あまり表沙汰になることがなく実態がわかりにくい。とはいえいくつかの調査はある。
  2013年に東京商工会議所が行った「中小企業の知的財産に関する調査」によると、中小企業の約1/4が技術・営業情報の流出被害を経験しているという。その状況は表1のとおりだ。

表1 技術・営業情報の流出被害の状況
表1 技術・営業情報の流出被害の状況
「中小企業の知的財産に関する調査」2013年3月
資料提供:東京商工会議所

セキュリティ情報局にご登録頂いた方限定で「チェック項目で弱点克服!内部不正の防止策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

内部不正/チェック項目で弱点克服!内部不正の防止策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「内部不正」関連情報をランダムに表示しています。

内部不正」関連の製品

UTM/Firewall/Proxyログ一括管理 ManageEngine Firewall Analyzer 【ゾーホージャパン】 暗号化/マルウェア対策/ランサムウェア対策 秘文 Data Encryption 【日立ソリューションズ】 行動分析ソリューション「察知くん-G」 【ギガ+他】
UTM 暗号化 その他エンドポイントセキュリティ関連
分かりにくいUTM/ファイアウォール/プロキシの生ログをグラフィカルで見やすくレポート出力できるログ管理ツール。
Juniper、Ciscoなど30ベンダー以上の主要機器に対応。
PCや記録メディア、ファイルサーバのデータを暗号化。
安全性が確認できるプログラムのみ、機密データやOS管理領域へのアクセスを許可する。
企業内のログデータや管理情報を統合的に分析し、不正につながる従業員の行動(リスク行動)をAIが検知し、アラート・分析レポートを提供する。

内部不正」関連の特集


営業秘密の漏洩経路…50.3%が“中途退職者”という事実。複雑化した「特権ID」、見て見ぬふりしてい…



増えるクレジットカード情報の漏洩事件。今、サイト運営企業は顧客情報をどう守るのか?セキュリティ標準「…



“内部からの情報漏洩対策”連載第2弾は「アクセス制御」に注目。システムやワークフロー上でポリシー外の…


内部不正」関連のセミナー

今年度こそ着手!特権ID管理の「実施項目」を具体例で解説 【ゾーホージャパン/フェス】 注目 

開催日 5月29日(火)   開催地 神奈川県   参加費 無料

WindowsのAdministrator、Linux/Unixのroot、Active Directoryのドメイン管理者アカウント等、高権限を有する特権ID…

クラウドファースト時代のセキュリティ対策セミナー 【京セラコミュニケーションシステム】  

開催日 6月7日(木)   開催地 東京都   参加費 無料

昨今、スマートフォンなどのモバイル端末の普及やワークスタイルの変革が進んでおり、個人アカウントの利用やシャドーITによる内部不正への対策が急務となっています。本…

SS1オンラインセミナー 【ディー・オー・エス】  

開催日 12月15日(金)〜8月31日(金)   開催地 オンラインセミナー   参加費 無料

株式会社ディー・オー・エスでは、IT資産管理ソフト「System Support best1(SS1)」を用いた、IT資産管理/情報漏洩対策の課題解決をテーマと…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006692


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ