三菱UFJ証券での大規模な顧客情報の流出は、セキュリティ教育などを徹底していたというにも関わらず発生した。「起きないことが前提」とする対策に限界が生じているようだ。
4月8日に三菱UFJ証券が発表した約148万人規模に及ぶ大規模な顧客情報の流出では、顧客情報データへのアクセス権限を持つ元従業員が不正な持ち出しを図った。同社によれば、情報セキュリティ研修を徹底していたが、元従業員の不正行動を防ぐことはできなかった。
顧客情報を持ち出したのは、元システム部部長代理の男性で顧客情報データベースへのアクセス権限を有する8人のうちの1人だった。データベースへアクセスする際にほかの従業員のIDとパスワードを使用し、持ち出す際にはデータのコピー権限を持つ別の従業員へ虚偽の説明を行ってCDにデータを記録させ、自宅に持ち帰ったとされている。
今回のケースについて、情報セキュリティ大学院大学の内田勝也教授は、「顧客情報データへのアクセス権限が適切に管理されていたかどうか疑問だ」と話す。また、三井物産セキュアディレクションコンサルティング部内部統制グループの中島聡シニアコンサルタントは、「アクセス権限の日常的な運用とインシデントの発見が遅れたという2つの問題点がある」と指摘する。
三菱UFJ証券によれば、社員への情報セキュリティ対策ではコンプライアンス強化の一貫から全社員を対象にした研修を毎月必ず実施していたという。しかし、元従業員が顧客情報保護に対する意識をどの程度持ち合わせていたかは定かではなく、「システム部門として特別な内容を実施していたかは把握していない」(広報部)と説明している。
企業が重要情報を保護する場合、社内向けには教育研修と情報利用に関するルールを導入し、技術的な対策は外部からの不正侵入に備える目的で導入していることが多い。技術的な対策では内部関係者の不正行為を防止するために、アクセス権限管理や監視カメラなどの防犯システムを導入するケースもある。
中島氏は、「研修やルールで内部の不正行為を防止するように規定していても、正しく運用されているケースは少ない」と話す。同氏によれば、今回のケースのように顧客情報へのアクセスが可能な高レベルの権限を管理職が有することは、本来必要性がないものである。
「顧客情報を日常業務で扱う機会は現場社員の方が多く、管理職が直接触れなければならない機会は少ないのが一般的。しかし、管理職に特権を与えている企業は多い」(同氏)
アクセス権限の悪用を防ぐには、現場社員と管理者が本来必要とする最低限度の内容にとどめ、特権レベルは非常時の最終手段として利用する場合には厳格に監視体制を導入すべきであるという。特権を利用する場合には、申請者と承認者、監督者を分ける。申請者が申請内容の通りに権限を実施したかどうかをアクセスログや操作ログなどで厳しく照合するプロセスが必須となる。
「こうした手段は既存のシステムと運用フローを変更するだけで良く、追加投資を必要としないため、すぐに導入できる」と中島氏はアドバイスする。また、広範なアクセス権限を有する人物を可能な限り少なくし、相互に監視・牽制する仕組みが必要であるという。これに加えて、静脈認証などの堅牢性の高いセキュリティシステムを組み合わせ、防御手段を多重化することを勧めている。
今回のケースでは情報流出が顧客からの指摘で発覚した。中島氏は、「本来あってはならないこと。少なくともシステムのログなどを定期的にチェックしていれば早期に見つかり、被害を最小にできたはずだ」とも指摘している。なお、技術的なセキュリティ対策の内容について、三菱UFJ証券は「コメントできない」と話した。
顧客情報管理について、証券他社では「社内の顧客管理規定を制定するとともに、役員・社員に対して教育と順守を徹底している」(野村證券ホールディングス)、「全社員への徹底した研修を継続的に実施している」(大和証券グループ本社)とコメント。三菱UFJ証券での顧客情報流出を受けて、野村證券ホールディングスは「部長および室長、支店長に改めて規則を徹底する注意喚起を図った」としている。
Copyright © ITmedia, Inc. All Rights Reserved.