チェック項目で弱点克服!内部不正の防止策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

チェック項目で弱点克服!内部不正の防止策

2014/03/18


 今年2月、銀行ATMシステムの運用管理を担当するサービス業者の部長が預金口座データを入手して偽のキャッシュカードを作成、不正に現金を引き出していた事件が発覚した。また組織の内部関係者が組織が保有する個人情報を数万〜数十万人分の規模で意図的に流出させる事件がこれまでに何度も繰り返し起きている。内部不正は最大のセキュリティリスクと言って過言ではない。今回は、ITツールを使いこなしてもなかなか防ぐことが難しい内部不正の原因と対策を考えていく。

内部不正

「職歴30年の部長がナゼ…」 こうして起きた!大手地銀のカード偽造事件

 あなたは銀行内の一角にある調査解析専門室にいる。他の部署からは隔離され、出入りが厳しく制限されているその部屋の中にはATMの障害解析用コンピュータがあり、銀行ATMの口座情報や暗証番号の暗号化を解いた生データが参照できる。あなたはATM保守運用のエキスパートで、口座データさえわかれば別室のテスト用キャッシュカード作成装置で簡単にキャッシュカードが作成可能な権限を持っている。正義感の強いあなたなら、当然業務を淡々とこなすのみだろう。しかし小部屋のどこかから悪魔のささやきを聞いてしまう人もいる。
 2014年2月に発覚した横浜銀行のキャッシュカード偽造、現金引き出し事件はこんな環境で発生した。容疑者は同行のATMシステムの保守管理にあたる運用会社で職歴30年という部長職。社内のみならず銀行からも絶大な信頼が寄せられていた。
 この立場を利用して、容疑者は最大132口座のデータを復号して取得、うち48口座の偽造キャッシュカードを作成して、合計約2400万円を引き出したとされている(同月に神奈川県警が逮捕)。

図1 横浜銀行のカード偽造事件の概要
図1 横浜銀行のカード偽造事件の概要

 この事件は、業務委託元と委託先/再委託先/再々委託先といった多重請負で発生しがちな管理のすき間を突いたものだった。同時に重要データの取り扱い権限が1人に集中してしまう体制の危うさを物語るものでもある。また、同業務では暗証番号は必ずしも必要なものではなかったのに、他のデータと一緒に閲覧可能になっていた管理の甘さも指摘されている。
 しかしこれは初めてのケースというわけではない。同様の事件には2006年に仙台銀行の受託データセンタのシステム責任者が408人分のカード番号や暗証番号などを印刷し、17人のカードを偽造してATMから合計約3100万円を引き出した事件、2012年に地銀共同センターの委託先のシステム開発に従事していた58歳のエンジニアがATMの取引データを不正取得して偽造カードを作成、約2000万円を引き出した事件などがある。
 内部不正に関して本コーナーでは「特権ID管理」記事(2013年12月)などで関連情報をまとめているが、これら事例はITソリューションだけでは内部不正が防げない実情を示している。今回は、特に組織対策と人的対策に重点を置いて考えてみたい。


1

中小企業の約2割が“知的財産の流出被害”を経験!?従業員からの情報漏洩リスク

 内部不正の「内部」には、経営層や正規従業員、臨時雇用従業員、派遣社員などすべてが含まれるとともに、時には退職者や業務委託先も含まれる。上記のような金銭被害をもたらした事件が数々あるが、頻度が多いのは機密情報の意図的な漏洩だ。情報を売却する場合もあれば、転職や独立の際に有利になるように利用する場合もある。個人情報については個人情報保護法や経済産業省のガイドラインのおかげで漏洩事実が公表されることが多いが、組織の機密情報は内部で発覚したとしても、刑事告発するなどの必要がない限り、あまり表沙汰になることがなく実態がわかりにくい。とはいえいくつかの調査はある。
  2013年に東京商工会議所が行った「中小企業の知的財産に関する調査」によると、中小企業の約1/4が技術・営業情報の流出被害を経験しているという。その状況は表1のとおりだ。

表1 技術・営業情報の流出被害の状況
表1 技術・営業情報の流出被害の状況
「中小企業の知的財産に関する調査」2013年3月
資料提供:東京商工会議所

セキュリティ情報局にご登録頂いた方限定で「チェック項目で弱点克服!内部不正の防止策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

内部不正/チェック項目で弱点克服!内部不正の防止策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「内部不正」関連情報をランダムに表示しています。

内部不正」関連の製品

PC/メディア/共有フォルダの暗号化 秘文 Data Encryption 【日立ソリューションズ】 ActSecureクラウドメールセキュリティサービス 【NEC】 PC操作記録 iDoperation SC 【エヌ・ティ・ティ・ソフトウェア】
暗号化 メールセキュリティ 統合ログ管理
データを暗号化し、内部不正や盗難・紛失、マルウェアによる漏洩リスクから情報を保護する。 標的型メール攻撃対策やメール誤送信対策、事後調査や監査対応などに有効なメールアーカイブ機能などのセキュリティ対策をクラウド(SaaS型)で提供。最短7日で導入可能。 サーバーやPCでの操作を録画して残せるPC操作記録ソフトウェア。管理サーバレスでの導入も可能で、初期コストを抑えつつ、より強固な情報漏洩対策を支援する。

内部不正」関連の特集


「金融商品取引法」「内部統制報告制度」がキーワードとして脚光を浴びた時代から数年、内部不正への対策の…



開発環境や情報系システム、管理系システムの移行先として一般的な選択肢となったIaaS。では“基幹系シ…



パスワードの使いまわしは厳禁!しかし、使い回しをしていないハズなのに不正ログインされてしまった事例が…


内部不正」関連のセミナー

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 1月12日(木),2月10日(金),3月9日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】 締切間近 

開催日 10月14日(金),11月10日(木),12月7日(水)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

現状の対策を見つめ直すためのサイバーセキュリティセミナー 【九州日立システムズ】 締切間近 

開催日 12月9日(金)   開催地 熊本県   参加費 無料

サイバー犯罪の最新動向とは?今の政府・行政の方針は何か?今後、企業が知っておかなければならないセキュリティ対策とは?昨今、国内ではサイバー攻撃による被害報告が相…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006692


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ