チェック項目で弱点克服!内部不正の防止策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

チェック項目で弱点克服!内部不正の防止策

2014/03/18


 今年2月、銀行ATMシステムの運用管理を担当するサービス業者の部長が預金口座データを入手して偽のキャッシュカードを作成、不正に現金を引き出していた事件が発覚した。また組織の内部関係者が組織が保有する個人情報を数万〜数十万人分の規模で意図的に流出させる事件がこれまでに何度も繰り返し起きている。内部不正は最大のセキュリティリスクと言って過言ではない。今回は、ITツールを使いこなしてもなかなか防ぐことが難しい内部不正の原因と対策を考えていく。

内部不正

「職歴30年の部長がナゼ…」 こうして起きた!大手地銀のカード偽造事件

 あなたは銀行内の一角にある調査解析専門室にいる。他の部署からは隔離され、出入りが厳しく制限されているその部屋の中にはATMの障害解析用コンピュータがあり、銀行ATMの口座情報や暗証番号の暗号化を解いた生データが参照できる。あなたはATM保守運用のエキスパートで、口座データさえわかれば別室のテスト用キャッシュカード作成装置で簡単にキャッシュカードが作成可能な権限を持っている。正義感の強いあなたなら、当然業務を淡々とこなすのみだろう。しかし小部屋のどこかから悪魔のささやきを聞いてしまう人もいる。
 2014年2月に発覚した横浜銀行のキャッシュカード偽造、現金引き出し事件はこんな環境で発生した。容疑者は同行のATMシステムの保守管理にあたる運用会社で職歴30年という部長職。社内のみならず銀行からも絶大な信頼が寄せられていた。
 この立場を利用して、容疑者は最大132口座のデータを復号して取得、うち48口座の偽造キャッシュカードを作成して、合計約2400万円を引き出したとされている(同月に神奈川県警が逮捕)。

図1 横浜銀行のカード偽造事件の概要
図1 横浜銀行のカード偽造事件の概要

 この事件は、業務委託元と委託先/再委託先/再々委託先といった多重請負で発生しがちな管理のすき間を突いたものだった。同時に重要データの取り扱い権限が1人に集中してしまう体制の危うさを物語るものでもある。また、同業務では暗証番号は必ずしも必要なものではなかったのに、他のデータと一緒に閲覧可能になっていた管理の甘さも指摘されている。
 しかしこれは初めてのケースというわけではない。同様の事件には2006年に仙台銀行の受託データセンタのシステム責任者が408人分のカード番号や暗証番号などを印刷し、17人のカードを偽造してATMから合計約3100万円を引き出した事件、2012年に地銀共同センターの委託先のシステム開発に従事していた58歳のエンジニアがATMの取引データを不正取得して偽造カードを作成、約2000万円を引き出した事件などがある。
 内部不正に関して本コーナーでは「特権ID管理」記事(2013年12月)などで関連情報をまとめているが、これら事例はITソリューションだけでは内部不正が防げない実情を示している。今回は、特に組織対策と人的対策に重点を置いて考えてみたい。


1

中小企業の約2割が“知的財産の流出被害”を経験!?従業員からの情報漏洩リスク

 内部不正の「内部」には、経営層や正規従業員、臨時雇用従業員、派遣社員などすべてが含まれるとともに、時には退職者や業務委託先も含まれる。上記のような金銭被害をもたらした事件が数々あるが、頻度が多いのは機密情報の意図的な漏洩だ。情報を売却する場合もあれば、転職や独立の際に有利になるように利用する場合もある。個人情報については個人情報保護法や経済産業省のガイドラインのおかげで漏洩事実が公表されることが多いが、組織の機密情報は内部で発覚したとしても、刑事告発するなどの必要がない限り、あまり表沙汰になることがなく実態がわかりにくい。とはいえいくつかの調査はある。
  2013年に東京商工会議所が行った「中小企業の知的財産に関する調査」によると、中小企業の約1/4が技術・営業情報の流出被害を経験しているという。その状況は表1のとおりだ。

表1 技術・営業情報の流出被害の状況
表1 技術・営業情報の流出被害の状況
「中小企業の知的財産に関する調査」2013年3月
資料提供:東京商工会議所

セキュリティ情報局にご登録頂いた方限定で「チェック項目で弱点克服!内部不正の防止策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

内部不正/チェック項目で弱点克服!内部不正の防止策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「内部不正」関連情報をランダムに表示しています。

内部不正」関連の製品

特権ID管理 iDoperation(アイディーオペレーション) 【NTTテクノクロス】 暗号化/マルウェア対策 秘文 Data Encryption 【日立ソリューションズ】 IT資産管理・情報漏えい対策 LanScope Cat 【エムオーテックス】
ID管理 暗号化 IT資産管理
申請と承認に基づく特権IDの貸し出しと、利用状況の点検・監査(申請とログの突合せ)に対応する特権ID管理製品。監査対応、特権ID管理の効率化、セキュリティ強化を実現。 データを暗号化し、内部不正や盗難・紛失、マルウェアによる漏洩リスクから情報を保護する。 IT資産管理、操作ログ管理、マルウェア対策、ファイル配布、各種レポートやリモートコントロールなど、セキュリティ対策やIT資産管理に必要な機能を網羅したパッケージ。

内部不正」関連の特集


故意か否かに関わらず頻繁に発生している内部からの情報漏洩。情報漏洩メカニズムを学びながら、企業での具…



IT担当者628人を対象に「企業におけるログの管理状況」を調査。目的や対象機器などから、ログ管理の実…



開発環境や情報系システム、管理系システムの移行先として一般的な選択肢となったIaaS。では“基幹系シ…


内部不正」関連のセミナー

実現性の高い「働き方改革」「インターネット分離」の進め方 【ソリトンシステムズ】  

開催日 4月27日(木),5月17日(水),6月1日(木),6月14日(水),6月28日(水)   開催地 東京都   参加費 無料

攻撃手法が日々進化し激増するマルウェアや、内部不正による情報漏えい事故が後を絶たない中、先進企業におけるセキュリティへの取り組み動向や最新事例を紹介すべく、注目…

セキュリティのプロ、名和利男氏が語る 日常化するサイバー攻撃 【日立ソリューションズ】  

開催日 5月19日(金)   開催地 東京都   参加費 無料

「秘文」の最新機能をご紹介する アップデート体験セミナーを開催いたします。企業を狙ったサイバー攻撃は、日本でも多くの被害が報告されるようになり、企業の規模や業種…

情報漏洩を防げ! 情報セキュリティの基礎知識と企業事例 【ニュートン・コンサルティング】  

開催日 5月30日(火)   開催地 東京都   参加費 有料 2万1600円(税込)

ITの専門用語やルールの羅列になりがちな情報セキュリティの基礎知識を、長年情報セキュリティやIT運用の現場に立ち続けてきたコンサルタントが、世間を騒がせた情報漏…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006692


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ