博識な内部関係者に注意:仏大手銀行、ソシエテ ジェネラルが私たちに教えてくれること。

Richard Stiennon 2008-01-30 17:19:35

内部統制に取り組む者に、この週末に、ソシエテ ジェネラルが明らかにした最悪の惨事(英語)は、次のアドバイスをくれました。。「特に、リスクとセキュリティ対策に精通している従業員に用心すべきです。彼らは、あなたが準備している予防策の全てを回避するツールで武装しています。」

私が、プライスウォーターハウスクーパースの善意のハッカーだったころ、我々のセキュリティ監査は、通常、2段階に分かれていました。ペネトレーションテスト(擬似侵入攻撃)の後に、処理工程と制御についての内部チェックが行われるというものでした。内部チェックの間、私は、ファイアウォールのポリシーを調べ、ネットワークをスキャンし、様々なツールを主要なサーバやデスクトップで動作させるという検査を行っていました。主要なスタッフに、インタビューをすることもありました。インサイダーの気持ちを理解するまでに4日間かかりました。そして、全てのケースにおいて、私は、顧客企業から情報を盗む方法を発見することができました。私の意見では、これらの企業の多くが、大きな盗みを経験「していない」唯一の理由は、世の中の人々、とりわけ IT担当者が信頼の置ける人間であるからです。しかし、「信頼」は、得策ではありません。間違いなく、ソシエテ ジェネラルのステークホルダーたちは、ソシエテジェネラルが投機家に吹き込んだ信頼レベルについて、いくつかの質問をするでしょう。

1人の投機家が、とてつもなく高い入札に関与して、内部統制を騙した結果、ソシエテ ジェネラルは、71億4千万ドルにのぼる損失を被ったと主張しています。これは、バーリング銀行(英語)住友商事(英語)におきた類似の事件を思い起こさせます。ジェローム ケルビエル氏は、以前、取引きを管理する部署で働いており、システムを悪用する方法を熟知していました。彼が、自分自身の行動から、何も得ていなかったというのは、いささか奇妙に思えます。調査員たちは、彼の取引から、目立った資産増加の証拠がないか、調べることは間違いありません。恐らく、彼には、外部の共犯者(雇い主?)がいて、何が何でも、反対の方向に入札をするようにしていたのかもしれません。

この事件を内部統制の検査を進めるきっかけにしてください。対策が十分でないことは、私が保証します。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!