ＩＴによる機密情報漏洩対策

    2009年4月に公表された三菱ＵＦＪ証券株式会社と、7月に公表されたALICO Japanの顧客情報の流出事件は、情報システム部員、IT統制担当者としては記憶に残しておきたいところです。

  三菱ＵＦＪ証券株式会社では、事件をおこしたのは同社システム部門の管理者（事件発覚前に退職）で、約148万人分の顧客情報を盗み出し、名簿業者3社に売却。名簿業者それぞれは更に別の業者に転売していたことが、同証券会社の調査で判明したもの。同証券会社は漏洩した情報の回収に努めたが、5万人弱分の情報が回収できずに流出したとされています。
  同証券会社では情報が回収できずに流出した顧客への謝罪として1人当たり1万円分の商品券を送付したようです。損害額は約5億円に上ります。シンクタンクの試算によれば、信用失墜による顧客離れを勘案すると、会社の損害金額は数千億円規模に達するとしています。

    ALICO Japanではクレジットカード決済システムの動作確認のために本物のデータをもとに作ったテストデータが漏出した可能性が高く、委託先を含め数十名の社内技術者の一部の者による不正行為ではないかとみているとのことです。
  流出データは１億８千２百余件を超え、ネット通販でのクレジットカードの不正利用件数も２千数百件にのぼるとされています。
  情報が流出した契約者のクレジットカード作成し直し費用や、ネット通販でカードが不正利用され発生した実害額を該当契約者に支払う他、当初流出の恐れがあるとした13万件全てについて、「不安を与えたおわび」として9月下旬から金銭的な補償をしていくこととしているようです。

  三菱ＵＦＪ証券では、システム部門の内部犯行が防げなかった要因は「操作ログの定期的な監査が行われていなかった」ことを挙げています。
  しかし、ログ監査は事後確認です。監査を定期的に実施すれば不正の発見を早めることはできても防止することはできません。

  一般的にログをチェックして不審な操作を監視する作業は、システム管理者が行っています。特権IDを有するスーパーユーザーであるシステム管理者自身が意図的に不正行為を働こうとした場合、それを防ぐ手だてはあるのでしょうか。

    8月にリリースした「IT統制／特権IDアクティビティ管理」でお話したように、わが社では特権IDを有するスーパーユーザーの本番環境アクセスについて監視するようにしています。
  しかし、これは1週間毎の事後チェックであるため、スーパーユーザーに対して、『監視されている』ことの意識付けによる不正行為の抑止効果はあると思いますが、防止機能を有していません。
  この仕組みに、リアルタイムでの自動チェックを行い、事前に承認・許可されていない操作要求は不正としてアクセスできないようにする機能を加えれば、スーパーユーザーによる不正行為防止システムが構築可能かと思います。

  システマティックな対策は知恵と工夫と構築費が揃えば実現することができますが、それだけでは片手落ちではないでしょうか。
  それだけで不正行為は防止できるのでしょうか。大半の人は自らが不正行為を行うとは考えてもいないでしょう。一部の人がそのトリガーを引いてしまうのは何故かを考え、対策を実行しなければなりません。

  人は感情で行動する動物です。多くの人は道徳観、倫理観で不正行為への感情をコントロールしているはずです。モラルハザードを起こす多くの原因は組織内にあると考えるべきでしょう。特に経営者層の人々には真摯に受け止めてほしいと思います。

  原因はいろいろ有るかとは思いますが、次の3つが代表格ではないでしょうか。
１．収入への不満、不安。
２．尊厳を侵す。プライドを傷つける。
３．これらをちらつかせて発破をかけるハラスメント。

  経営者も管理者もこんなことを意識してやっている人は稀だと思います。無意識の内に他人を傷つけていると思います。だからこそ怖いのです。
  不正行為を防止し、モラルと求心力を高め、維持するには、不穏分子が出ては困る部署の従業者に対しては、組織での処遇を手厚くしていくことも重要ではないでしょうか。