4月にニュースになった内部犯行情報漏洩事件。
三菱UFJ証券管理職、全顧客148万人分の情報持ち出す : 社会 : YOMIURI ONLINE(読売新聞) - けにあmemo
asahi.com(朝日新聞社):三菱UFJ証券元部長代理を逮捕 顧客情報持ち出し容疑 - 社会
久保容疑者は1月26日、社内のパソコンから3回にわたり、同証券の顧客データベースに子会社の女性嘱託社員のIDを使って不正に接続。全顧客約148万人分の氏名や住所、電話番号、年収などの情報を暗号化して同社のサーバーに保存するなどした疑いがある。
センターによると、久保容疑者は、同証券の顧客データベースに接続できる権限を持った社員約300人のIDなどを知り得る立場だった。女性嘱託社員は昨年12月に顧客データベースへの接続権限がない部署に異動。本来ならこの時点でこの嘱託社員のIDは削除されるべきなのに、削除されずに残ったIDを久保容疑者が不正利用したという。センターは、同証券のずさんな情報管理体制についても解明を進める。
管理権限を持つ人間が他人のIDでアクセス、となると、明らかになにやってるかわかってたわけね。
内部がゆえにDBから直接大量ダウンロードができているところは、典型的。
対策としては、特権ユーザーの監視と通常挙動からの逸脱がポイントになってくるんでしょう。
金融庁が出した業務改善命令で若干対策について触れてある。
三菱UFJ証券、情報漏えいの再発防止について表明 - ITmedia エンタープライズ
例えば以下の観点から、情報セキュリティ管理態勢の充実、強化を図ること。
「部門間の牽制機能の確保」「外部委託先を含めた各種手続の運用実態の検証とその実効性の確保」「不正行為を可能とする一連の権限などの特定職員への集中状況の検証と、当該権限などの分断または幅広い権限などを有する職員への管理、牽制の強化」「不正行為の隠ぺい防止」
職務分掌が最重要で、その上で監視や防止機能を実装しろということか。
Leave a comment