三菱UFJ証券による顧客情報の漏えいと不正販売事件について、情報セキュリティに詳しい情報セキュリティ大学院大学の内田勝也教授に聞いた。
三菱UFJ証券は4月8日、同社の元従業員が約148万人の顧客情報を不正に持ち出し、このうちの約5万人の情報を名簿業者に販売したと発表した。警察と協力し、元社員を告訴する方針という。情報セキュリティに詳しい情報セキュリティ大学院大学の内田勝也教授に聞いた。(ニュース)
148万件に上る全顧客データをなぜ持ち帰れたのかが疑問だ。報道では、システム部の元部長代理が職権を利用し、顧客ファイルのファイル名を変えてサーバに保管し、オペレーターに情報を少しずつCDに書き込ませたというが、部長代理という職がそれほど高い役職とは思えない。どちらにしても、金融機関が役職に振り回されているのはよくない。
実際には、ほかの人間でも不正を実行できたのではないか。データの参照権限を定義、管理する「アクセスコントロール」が不十分であることは間違いない。
もう1つ気になるのは、漏えいしたデータが本番データだったのか、テストデータなどの本番以外のデータだったのかだ。本番データだとしたら、アクセスコントロールの甘さの問題になる。一方、テストなどで利用していたデータからコピーしたとすれば、システムテストを本番と同じデータで実施していたことになるため、それも問題だ。テストデータは情報システム部員など多くの人間が触れる可能性がある(ため、情報が拡散しやすくなる)。
情報へのアクセスコントロールが金融機関全体として不十分である可能性も見えてくる。アクセスコントロールの徹底が求められる。(談)
Copyright © ITmedia, Inc. All Rights Reserved.