チェック項目で弱点克服!内部不正の防止策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

チェック項目で弱点克服!内部不正の防止策

2014/03/18


 今年2月、銀行ATMシステムの運用管理を担当するサービス業者の部長が預金口座データを入手して偽のキャッシュカードを作成、不正に現金を引き出していた事件が発覚した。また組織の内部関係者が組織が保有する個人情報を数万〜数十万人分の規模で意図的に流出させる事件がこれまでに何度も繰り返し起きている。内部不正は最大のセキュリティリスクと言って過言ではない。今回は、ITツールを使いこなしてもなかなか防ぐことが難しい内部不正の原因と対策を考えていく。

内部不正

「職歴30年の部長がナゼ…」 こうして起きた!大手地銀のカード偽造事件

 あなたは銀行内の一角にある調査解析専門室にいる。他の部署からは隔離され、出入りが厳しく制限されているその部屋の中にはATMの障害解析用コンピュータがあり、銀行ATMの口座情報や暗証番号の暗号化を解いた生データが参照できる。あなたはATM保守運用のエキスパートで、口座データさえわかれば別室のテスト用キャッシュカード作成装置で簡単にキャッシュカードが作成可能な権限を持っている。正義感の強いあなたなら、当然業務を淡々とこなすのみだろう。しかし小部屋のどこかから悪魔のささやきを聞いてしまう人もいる。
 2014年2月に発覚した横浜銀行のキャッシュカード偽造、現金引き出し事件はこんな環境で発生した。容疑者は同行のATMシステムの保守管理にあたる運用会社で職歴30年という部長職。社内のみならず銀行からも絶大な信頼が寄せられていた。
 この立場を利用して、容疑者は最大132口座のデータを復号して取得、うち48口座の偽造キャッシュカードを作成して、合計約2400万円を引き出したとされている(同月に神奈川県警が逮捕)。

図1 横浜銀行のカード偽造事件の概要
図1 横浜銀行のカード偽造事件の概要

 この事件は、業務委託元と委託先/再委託先/再々委託先といった多重請負で発生しがちな管理のすき間を突いたものだった。同時に重要データの取り扱い権限が1人に集中してしまう体制の危うさを物語るものでもある。また、同業務では暗証番号は必ずしも必要なものではなかったのに、他のデータと一緒に閲覧可能になっていた管理の甘さも指摘されている。
 しかしこれは初めてのケースというわけではない。同様の事件には2006年に仙台銀行の受託データセンタのシステム責任者が408人分のカード番号や暗証番号などを印刷し、17人のカードを偽造してATMから合計約3100万円を引き出した事件、2012年に地銀共同センターの委託先のシステム開発に従事していた58歳のエンジニアがATMの取引データを不正取得して偽造カードを作成、約2000万円を引き出した事件などがある。
 内部不正に関して本コーナーでは「特権ID管理」記事(2013年12月)などで関連情報をまとめているが、これら事例はITソリューションだけでは内部不正が防げない実情を示している。今回は、特に組織対策と人的対策に重点を置いて考えてみたい。


1

中小企業の約2割が“知的財産の流出被害”を経験!?従業員からの情報漏洩リスク

 内部不正の「内部」には、経営層や正規従業員、臨時雇用従業員、派遣社員などすべてが含まれるとともに、時には退職者や業務委託先も含まれる。上記のような金銭被害をもたらした事件が数々あるが、頻度が多いのは機密情報の意図的な漏洩だ。情報を売却する場合もあれば、転職や独立の際に有利になるように利用する場合もある。個人情報については個人情報保護法や経済産業省のガイドラインのおかげで漏洩事実が公表されることが多いが、組織の機密情報は内部で発覚したとしても、刑事告発するなどの必要がない限り、あまり表沙汰になることがなく実態がわかりにくい。とはいえいくつかの調査はある。
  2013年に東京商工会議所が行った「中小企業の知的財産に関する調査」によると、中小企業の約1/4が技術・営業情報の流出被害を経験しているという。その状況は表1のとおりだ。

表1 技術・営業情報の流出被害の状況
表1 技術・営業情報の流出被害の状況
「中小企業の知的財産に関する調査」2013年3月
資料提供:東京商工会議所

セキュリティ情報局にご登録頂いた方限定で「チェック項目で弱点克服!内部不正の防止策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

内部不正/チェック項目で弱点克服!内部不正の防止策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「内部不正」関連情報をランダムに表示しています。

内部不正」関連の製品

IT資産管理・情報漏えい対策 LanScope Cat 【エムオーテックス】 ネットワーク監視システム 「PacketBlackHole」 【ギガ+他】 特権ID管理 iDoperation(アイディーオペレーション) 【NTTテクノクロス】
IT資産管理 フォレンジック ID管理
IT資産管理、操作ログ管理、マルウェア対策、ファイル配布、各種レポートやリモートコントロールなど、セキュリティ対策やIT資産管理に必要な機能を網羅したパッケージ。 社内・社外へ流れる通信データを取得・保存し、その中身の解析・再現。情報漏えいの抑止と事件発生時の迅速な証拠発見を可能にする。 申請と承認に基づく特権IDの貸し出しと、利用状況の点検・監査(申請とログの突合せ)に対応する特権ID管理製品。監査対応、特権ID管理の効率化、セキュリティ強化を実現。

内部不正」関連の特集


IPAが「情報セキュリティ10大脅威」2016年版を公開しました。企業を襲う脅威をまとめた「組織」編…



 最終回では、内部不正対策特有の職場環境に関する対策について紹介します。 内部不正は正当に権限を有し…



「金融商品取引法」「内部統制報告制度」がキーワードとして脚光を浴びた時代から数年、内部不正への対策の…


内部不正」関連のセミナー

System Support Day 2017 【ディー・オー・エス】 注目 

開催日 9月7日(木)   開催地 東京都   参加費 無料

「WannaCry」をはじめとするランサムウェアを用いた標的型攻撃や、内部不正に起因する情報漏洩など、IT環境を取り巻く脅威が社会問題となっています。これらの脅…

認証、ID管理の最新動向 【主催:かもめエンジニアリング/協力:GMOグローバルサイン/ジインズ/オープンソース活用研究所】  

開催日 8月29日(火)   開催地 東京都   参加費 無料

★本セミナーでは、企業情報システムにおける認証やID管理ついて、その最新動向を解説します★【対象者】・情報システム部門の担当者、マネージャー・セキュリティ部門の…

機械学習で実現するセキュリティ運用の効率化 【マクニカネットワークス】  

開催日 9月7日(木)   開催地 東京都   参加費 無料

−世界15か国・19業種・1100人の声から見えてきた課題解決標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリテ…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006692


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ