NTTデータ委託社員 不正問題--ITR内山氏「下請け、孫請けの限界」

怒賀新也 (編集部) 2012年11月29日 20時56分

  • このエントリーをはてなブックマークに追加

 NTTデータの孫請け企業のSEが、複数の地方銀行の情報システムを統合した「地銀共同センター」に不正にアクセスし、キャッシュカードを偽造して他人の銀行口座から現金を引き出した容疑で、京都府警に逮捕された。システムインテグレーション(SI)ビジネスへの信用を根幹から揺さぶる大きな事件となった。

 いわゆる「振り込め詐欺」などの消費者や外部の犯罪者がかかわる事件はともかく、サービスを提供する銀行側の責任の範囲でATMから不正に現金が引き出されるという事例はめずらしい。それだけに不安は広がる。同じことが都銀など別の金融機関でも起きる可能性はあるのか。IT専門の調査会社、ITRの内山悟志代表取締役/プリンシパル・アナリストに事件について話を聞いた。

 [Updated]続編で、内田・鮫島法律事務所の伊藤弁護士に法律の観点からこの問題を聞いてみました

システムインテグレーションの現場が抱える構造的問題
ITRの内山悟志代表取締役/プリンシパル・アナリスト
ITRの内山悟志代表取締役/プリンシパル・アナリスト

 起こるべくして起こった事件というのが第一印象です。システムインテグレーション(SI)の世界ならどこでも起こり得る構造的な問題といえるでしょう。「完璧な防御はない」という定説を裏付ける事件であり、ともすると解決策のない提言しかできないかもしれません。

--NTTデータは対策として、顧客の口座番号や暗証番号などの重要情報には専用のツールがなければアクセスできないようにしていたといわれています。

 セキュリティ技術の強化や教育などでは防ぎきれないというのが正直なところです。セキュリティはいたちごっこの世界で、必ずといっていいほど抜け道はあります。モラルについても、ISMSやISOを取得しても、絶対的な悪意を持った人物が本気でやろうと思えば防ぐのはなかなか難しい。

 それでも解決策を考えなくてはいけません。セキュリティ技術の強化とモラル向上に加え、私が注目するのは「管理体制」の改善です。

 バージョンアップや保守点検、担当者のサーバルームへの入室とそれへの立会い、持ち物検査など、そういった細かい管理体制をひとつ厳しい段階へと引き上げることが、あくまでも対症療法的な施策として有効かもしれません。

 システムへのアクセス権限を見直すこともできます。システムのroot権限を持ついわゆる「スーパーユーザー」の権限を、複数の担当者に分けるという方法も考えられます。ただ、アクセス権限すら変更できるのがスーパーユーザーであるという面もあります。その前に、スーパーユーザーが暴走しないようにする措置については、多かれ少なかれ既に実施している現場が多いのではないでしょうか。

--半年あまりの期間にわたって、現金の不正引き出しを発見できなかったことに衝撃を受ける声があります。

 不正引き出しについて簡単には分からないでしょうね。今回の手口は、暗証番号などを盗んで偽造キャッシュカードをつくるというものでした。偽造であれ、キャッシュカードで現金を引き出している限り、膨大な数のトランザクションに紛れてしまうと考えられます。引き出された被害者が気づかなければ、なかなか分かりにくいのではないでしょうか。可能性としては、どの銀行であろうと起き得ることです。

下請け、孫受け構造の限界か

 現状で解決策というと「今までも認識していたことを改めてしっかり実施する」といったことしかない考えられないのが正直なところです。

 一方で、懸念はたくさんあります。何より、下請け、孫請けという受注構造に今後も業界として頼り続けていいのかということです。下請け企業を保護する下請け法の問題もあります。

 今後は、IT業界に限らず、外国人を含めた非正規社員の比率が増えるのは間違いありません。愛社精神を持つ人もますます減るでしょう。そうした環境の中で、企業は下請け、孫請け企業による不祥事にどこまで責任を持てるでしょうか。改めて考える必要があります。

--システムインテグレーターに構築を発注するユーザー側は、今後どんなことに気をつける必要がありますか?

 開発や運用を委託した時点で、発注者といえども管理プロセスなどには実質的に手が出せなくなります。もちろん、問題が起きた時の対処方法などは決められますが、細かな運用プロセスは分かりません。その意味で、ユーザーからするとお手上げです。

 予防策としては、ISMS、ISO、プライバシーマークを持っているなど、何かしらの基準を設定し、それをクリアしている人や企業にしか仕事を発注しないという方法があります。その上で、システムへのアクセスログを監視する体制をしっかりつくるように指示するといった施策も打つべきでしょう。

 今回の事件を受け、あわてて運用体制や不正の有無を調べている銀行ももしかすると多いかもしれません。

Keep up with ZDNet Japan
ZDNet JapanはFacebookページTwitterRSSNewsletter(メールマガジン)でも情報を配信しています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]