松井証券のシステム開発委託先SE、顧客口座から2億円着服か パスワードなど不正使用して出金
コメント
注目のコメント
LINEの問題と一部通ずるものがある(業務委託の範囲と権限、および、その管理・統制)
<論点1>
システム開発・保守、運用の業務委託のようだが、それぞれの業務にどのような人物が関わりどのようなプロセスで業務を行なっているのかを、委託元がきちんと認識していたか?
その上で各種業務とプロセスにおいて、役割に応じた権限を定義し委託元と委託先で契約・合意形成がなされていたか?
※長期間にわたる関係性によって曖昧な状態になってなかったか?形骸化していなかったか?
<論点2>
(論点1の整理のもとで)役割に応じての各担当者の本番システム/本番データへのアクセス管理・統制の仕組みが、きちんとデザイン〜実装され、適切に運用されていたか?(承認プロセスも含めて)
委託元側のシステム監査はどうなっていたのか?機能していたのか?
※同上
<論点3>
システムデザイン上、パスワードがなぜ本人以外が読みだせる/復号できる状態で格納され利用されていたのか?(ECやインターネット取引初期のデザイン?)
<論点4>
ID・パスワードが漏洩するという前提でのシステムデザインにはなっていなかったのか?(二要素認証等)
<論点5>
なぜ盗難した個人情報で送金先の銀行口座を開設できたのか?(本人確認書類の画像情報まで盗み出した?)
<論点6>
なぜ長期間気付かなかったのか?不正使用された口座の利用者は気付かなかったのか?証券会社との間でどのような確認・やりとりがなされてきたのか?こういうことをすれば足がつくことくらい大手SIerのSEであれば知っていそうなものであるがそうとは限らないようである。
一般的には顧客情報(名前・住所・電話番号など)は社員以外には生情報は見せない(見られない)ように管理されている。さらに、パスワードや取引用コードなどは社員であっても見ることができないようになっていて、データベース上にも暗号化されて保管されていてシステム部門の社員でもデータベースを直接アクセスしてもパスワードは読めないようになっている。
銀行や証券のシステムでならおそらくこのようなデータ管理は行われていると思う。そのことから考えれば、パスワードを読み出せるのは暗号化された情報を解読(復号)できるプログラムを使うことができるシステム開発(管理?)担当者に限られると思われる。
大手SIerのSEであったので松井証券の社員でない身であっても実データにアクセスし復号化できたのかもしれないが、社員以外に実データがアクセスできた(アクセスすることが可能な状態であった)という点では情報管理にも問題はあったと言える。
そうだとしても、大手SIerであっても性悪説に基づいた管理が必要なものはそのように管理を徹底することが必要だということを再認識しなければならない。
もちろんそれは社員に対しても同様と言える。
信じて良いことと疑ってかかる必要があることはしっかり区別して徹底することがITを活用する上ではより重要となってくる。
先日のLINEの中国からのデータ閲覧にも言えることだと思う。
それにしても大手SIerであっても安心できないとなるといろいろなところに影響が広がるのではないかと思えてしまう。過剰反応としておかしな広がり方をしなければいいと少し心配する。システム管理者は結構何でもできてしまうので、最初に矜持としてそれを悪用しないと教わるし、実際SEは人がパスワード入力してるのを頑なに見ないのを面白おかしくした漫画も見かけたのですが、悪用する人が増えると性悪説のガチガチのセキュリティが必要になって来ますよね。
