セキュリティのカルチャーショック 「以上」と「イコール」の違い“迷探偵”ハギーのテクノロジー裏話(2/2 ページ)

» 2012年09月07日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2       

頭取なら何でも「OK」の日本式

 日本方式の「60」以上は課長職以上の人、支店長や部長、役員、そして最高位にある頭取であり、彼らの立場なら何でも実行できてしまう権限にあるということだ。支店長が「どうしても1億円という巨額のお金を調達したい、すぐに返済できる可能性があるのでちょっとだけ架空口座に振り込みをしよう」と思い立てば、日本ならできてしまう。どういうチェックが働き、どういう言い訳がなされるかはさておき、システム上では実行可能である。

 しかし、米国の某銀行のソフトでは不可能だ。「以上」ではなく「イコール」なので、仮にB処理なら、行員は作業できない。ソース上では「パート」の立場にある人にしかできない処理である。頭取が「わたしは最高権限者だ。なぜ、パートの処理がわたしにはできないのか!」と声を荒げても、システム上ではできない。これは内部犯罪を抑止するためであり、「振込処理」という一気通貫で資金移動ができるような処理は、最低3人の共犯者がいないと成立しない仕組みになっている。

 当時、筆者は役員と口論した記憶がある。仲の良い役員で執務時間中に本部から抜け出し、喫茶店で口論した。「うちだってこうすればいいじゃないでしょうか?」と。

 だが、一番に物分かりの良いこの役員ですら、「理屈は理解できるが、それじゃ現場は大混乱する。もしそうしたいなら業務フロー自体を根本的に変更しないといけない。分かるだろう」と話した。反論しようとしたが、どうしてもその現実に対する有効策を出すことができなかった。

 その後、レガシーシステムが衰退して分散処理に、現在ではクラウドによる基幹システム構築まで議論されている状況となった。筆者も銀行を退職して、その後は一般企業で多くのシステムを見てきた。だが、この「職位が上なら下位の作業はできて当然」という考えは衰えてはいるものの、今でも健在なのである。金融機関のレガシーシステムの内部コードがそうなっていても、その周辺システムでさまざまなガードがなされ、昔のような“スッピン”の状況ではないと思う。しかし、セキュリティの根本を理解しないで設計すると、だいたいはこういうお粗末な仕組みになりがちだ。

 現代は企業にコンプライアンスが強く求められるようになったが、「経営者は悪さをしない」という幻想を抱いている人はまだいるようだ。ITに限らず、本来はこうした点を考慮して業務を設計しなければならないはずである。啓蒙に努力している企業は多いが、それでもカルチャーを変えるには長い年月がかかるものだ。ある海外の方が「日本人の根底に『権力者は善、社長やお上は悪さをしない』というカルチャーがある」と話をされた。その指摘は正しいのだろう。だが筆者としては、変化のきざしが少しずつ見えているようにも感じる。

 「以上(≦)」と「イコール(=)」は似て異なる考えだ。それを理解してシステムやセキュリティ、コンプライアンスを考える。そして「社長は悪さをしない」という前提が崩れた場合の「コンティンジェンシープラン(緊急時対応計画/不測事態対応計画などと訳される)」を考えてみるのも良いかもしれない。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


関連キーワード

銀行 | 情報セキュリティ | 萩原栄幸


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ