読者です 読者をやめる 読者になる 読者になる

プロマネブログ

とあるSIerでプロマネやっているオッサンです。主にシステム開発ネタや仕事ネタ、気になった三面記事ネタの解説なんかしてたりします。

「横浜銀カード偽造事件」の問題分析と雑感

テクノロジー

横浜銀、カード偽造事件 浮かぶIT業界の「闇」  :日本経済新聞

 

上記のカード偽造事件の感想を書こうと思ってすっかり忘れていたのですが、いまさら思い出したのでエントリ。

 

セキュリティ対策のためのよくある手段

よく、IT企業などの内部者によるセキュリティ関連の事件が発生すると、大体の場合はセキュリティ監査の強化などにより対策を行われるのが通例です。

大体の場合、「ログ取得による後追い検査」「作業承認制度の導入」などが行われる場合が多いです。

  • 本番データを扱う端末室の入退出ログを取る。
  • 指紋認証などを導入し、限られた承認メンバーのみ入室できるようにする
  • 端末室入室を承認制にする
  • 本番データを扱う端末自体のアクセスを承認制にする
  • 端末ログを自動で記録するようにする

とまあ、こんな感じです。

 

後追い検査は、要は問題が起きた場合に誰が問題を起こしたのか、をバックトラックできるようにするための措置です。

問題追跡ができるようにすることで、問題行為などへの心理的な抑止をかけるための働きがあります。

 

作業承認制度は、何か作業しようとした場合に事前に有権限者からの承認をもってアクセスを許可しようという措置です。

有権限者によるチェックを行うことで問題行為を事前に精査する働きがあります。

 

正攻法が使えない難しさ

今回の事件ですが、気になったのが、事件を起こしたのが「部長」という役職持ちだったことです。

この部長さん、記事によれば

  • 『ATM障害発生時の取引履歴入手』
  • 『取引履歴の解析』
  • 『ソフトウエア保守業務で使用する機器の管理』

の上記3権限を保有していたとのことでした。

どうやら、もともと前述の作業承認制みたいなセキュリティ監査対策は導入していた模様ですが、この容疑者はすべての工程での作業承認権限も持っていた模様です。

 

これでは、容疑者が好き勝手に偽造できてしまいますね。。。

 

つまり、今回の事件では正攻法のセキュリティ対策が機能しなかった問題があります。

 

今回の真の問題は組織にあり

さて、こうやって見ていくと、今回の事件の問題点が浮かび上がります。

今回の事件の真の問題点は、組織における権限の集中化です。

 

セキュリティ対策に正攻法が2つある事書きましたが、これらの権限を分散させれば、問題は容易に防ぐことができたと考えられます。

 

要は、

  • 『ATM障害発生時の取引履歴入手』『取引履歴の解析』『ソフトウエア保守業務で使用する機器の管理』を同一権限で持たせない。同一部で全ての工程を担当できるようにするのではなく、カード作成だけでも権限を分けておくなどの考慮を行う
  • 自己承認を許さない。部長などの特別権限者であっても、副部長などの別の権限者承認がなければ、アクセス出来ないようにする
  • 全ての作業ログは、独立した監査部などが常時監視できるようにする。問題行為についてはすみやかにチェックできるようにする

と言った対策を取ることが必要でしょう。

 

同じような指摘はITProでもありましたね。。。書いたあと気づきました。

こうなったのは、権限を持つ人間とそれを監督する人間にあるべき「機構」が働いていないことが根本的な原因であるようだ。日本の企業では、担当者がある種の権限を持っている場合、その上長も同じ権限も持っていることが多い。

西本逸郎のIT社会サバイバル術 - 横浜銀行のデータ不正取得事件から考える、内部不正事件と標的型攻撃の共...:ITpro

 

本来であれば、こういったセキュリティ対策は、組織単位で権限をどのように管理するのか、という観点で議論しなければならない問題です。

権限の集中ということでセキュリティ対策が属人化してしまったことが、今回の根本的な問題であることは疑いないかなと思われます。

 

※こういう問題抱えたシステム会社はまだまだありそうな気がするなあ。。。

 

まとめ

事件に対する個人的な所感をだらだらと書きましたが、セキュリティ対策は、現状人が人をチェックするという対策でしか成立してません。

つまり、人が関わる以上は今後もセキュリティの穴を突いて問題が発生する可能性はあります。結局のところイタチごっこにならざるを得ない現状です。

 

個人的にもう一声原因分析を行うと、結局のところ、本番データを触る作業について、人手を何度も介すような非システム化されていることが本当の問題だと思ってます。

人手が介せば介するほど、セキュリティリスクは高まり、チェックも難しくなります。

本番データについてはカプセル化して、これら定常保守に関わる部分も極力人手を排除するようシステム化するべきだと思うんですけど。。。カネがないんですよね。。。

表に見える機能ばかりシステム化されてしまい、保守の部分はマンパワーで補う、見たいな設計はある種当たり前です。

 

セキュリティをシステム全体としてどう対応するか、今回の事件を機に考えられるといいんだけどなあ。。。

 

ま、まだまだ先は長いかなって思います。

 

以上

広告を非表示にする