NTTデータ委託社員 不正問題--ITR内山氏「下請け、孫請けの限界」

怒賀新也 (編集部)

2012-11-29 20:56

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 NTTデータの孫請け企業のSEが、複数の地方銀行の情報システムを統合した「地銀共同センター」に不正にアクセスし、キャッシュカードを偽造して他人の銀行口座から現金を引き出した容疑で、京都府警に逮捕された。システムインテグレーション(SI)ビジネスへの信用を根幹から揺さぶる大きな事件となった。

 いわゆる「振り込め詐欺」などの消費者や外部の犯罪者がかかわる事件はともかく、サービスを提供する銀行側の責任の範囲でATMから不正に現金が引き出されるという事例はめずらしい。それだけに不安は広がる。同じことが都銀など別の金融機関でも起きる可能性はあるのか。IT専門の調査会社、ITRの内山悟志代表取締役/プリンシパル・アナリストに事件について話を聞いた。

 [Updated]続編で、内田・鮫島法律事務所の伊藤弁護士に法律の観点からこの問題を聞いてみました

システムインテグレーションの現場が抱える構造的問題
ITRの内山悟志代表取締役/プリンシパル・アナリスト
ITRの内山悟志代表取締役/プリンシパル・アナリスト

 起こるべくして起こった事件というのが第一印象です。システムインテグレーション(SI)の世界ならどこでも起こり得る構造的な問題といえるでしょう。「完璧な防御はない」という定説を裏付ける事件であり、ともすると解決策のない提言しかできないかもしれません。

--NTTデータは対策として、顧客の口座番号や暗証番号などの重要情報には専用のツールがなければアクセスできないようにしていたといわれています。

 セキュリティ技術の強化や教育などでは防ぎきれないというのが正直なところです。セキュリティはいたちごっこの世界で、必ずといっていいほど抜け道はあります。モラルについても、ISMSやISOを取得しても、絶対的な悪意を持った人物が本気でやろうと思えば防ぐのはなかなか難しい。

 それでも解決策を考えなくてはいけません。セキュリティ技術の強化とモラル向上に加え、私が注目するのは「管理体制」の改善です。

 バージョンアップや保守点検、担当者のサーバルームへの入室とそれへの立会い、持ち物検査など、そういった細かい管理体制をひとつ厳しい段階へと引き上げることが、あくまでも対症療法的な施策として有効かもしれません。

 システムへのアクセス権限を見直すこともできます。システムのroot権限を持ついわゆる「スーパーユーザー」の権限を、複数の担当者に分けるという方法も考えられます。ただ、アクセス権限すら変更できるのがスーパーユーザーであるという面もあります。その前に、スーパーユーザーが暴走しないようにする措置については、多かれ少なかれ既に実施している現場が多いのではないでしょうか。

--半年あまりの期間にわたって、現金の不正引き出しを発見できなかったことに衝撃を受ける声があります。

 不正引き出しについて簡単には分からないでしょうね。今回の手口は、暗証番号などを盗んで偽造キャッシュカードをつくるというものでした。偽造であれ、キャッシュカードで現金を引き出している限り、膨大な数のトランザクションに紛れてしまうと考えられます。引き出された被害者が気づかなければ、なかなか分かりにくいのではないでしょうか。可能性としては、どの銀行であろうと起き得ることです。

下請け、孫受け構造の限界か

 現状で解決策というと「今までも認識していたことを改めてしっかり実施する」といったことしかない考えられないのが正直なところです。

 一方で、懸念はたくさんあります。何より、下請け、孫請けという受注構造に今後も業界として頼り続けていいのかということです。下請け企業を保護する下請け法の問題もあります。

 今後は、IT業界に限らず、外国人を含めた非正規社員の比率が増えるのは間違いありません。愛社精神を持つ人もますます減るでしょう。そうした環境の中で、企業は下請け、孫請け企業による不祥事にどこまで責任を持てるでしょうか。改めて考える必要があります。

--システムインテグレーターに構築を発注するユーザー側は、今後どんなことに気をつける必要がありますか?

 開発や運用を委託した時点で、発注者といえども管理プロセスなどには実質的に手が出せなくなります。もちろん、問題が起きた時の対処方法などは決められますが、細かな運用プロセスは分かりません。その意味で、ユーザーからするとお手上げです。

 予防策としては、ISMS、ISO、プライバシーマークを持っているなど、何かしらの基準を設定し、それをクリアしている人や企業にしか仕事を発注しないという方法があります。その上で、システムへのアクセスログを監視する体制をしっかりつくるように指示するといった施策も打つべきでしょう。

 今回の事件を受け、あわてて運用体制や不正の有無を調べている銀行ももしかすると多いかもしれません。

Keep up with ZDNet Japan
ZDNet JapanはFacebookページTwitterRSSNewsletter(メールマガジン)でも情報を配信しています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと
  2. セキュリティ

    マンガで解説--企業に必要な「WAF」と「FW」の違い
  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト
  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク
  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]