ニュース
アクセス管理に問題:ニュース解説 三菱UFJ証券の顧客データ不正売却
三菱UFJ証券による顧客情報の漏えいと不正販売事件について、情報セキュリティに詳しい情報セキュリティ大学院大学の内田勝也教授に聞いた。
三菱UFJ証券は4月8日、同社の元従業員が約148万人の顧客情報を不正に持ち出し、このうちの約5万人の情報を名簿業者に販売したと発表した。警察と協力し、元社員を告訴する方針という。情報セキュリティに詳しい情報セキュリティ大学院大学の内田勝也教授に聞いた。(ニュース)
148万件に上る全顧客データをなぜ持ち帰れたのかが疑問だ。報道では、システム部の元部長代理が職権を利用し、顧客ファイルのファイル名を変えてサーバに保管し、オペレーターに情報を少しずつCDに書き込ませたというが、部長代理という職がそれほど高い役職とは思えない。どちらにしても、金融機関が役職に振り回されているのはよくない。
実際には、ほかの人間でも不正を実行できたのではないか。データの参照権限を定義、管理する「アクセスコントロール」が不十分であることは間違いない。
もう1つ気になるのは、漏えいしたデータが本番データだったのか、テストデータなどの本番以外のデータだったのかだ。本番データだとしたら、アクセスコントロールの甘さの問題になる。一方、テストなどで利用していたデータからコピーしたとすれば、システムテストを本番と同じデータで実施していたことになるため、それも問題だ。テストデータは情報システム部員など多くの人間が触れる可能性がある(ため、情報が拡散しやすくなる)。
情報へのアクセスコントロールが金融機関全体として不十分である可能性も見えてくる。アクセスコントロールの徹底が求められる。(談)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表
三菱UFJ証券の元社員が約148万人分の顧客名簿を持ち出し、約5万人分の情報を名簿業者に売り込んでいた。- <オルタナティブ・ブログ>三菱UFJ証券の漏えいで改めて考えるデータ管理。機密データをあえてクラウドに置いてみる?(Azureの鼓動)
- <オルタナティブ・ブログ>退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです(新倉茂彦の情報セキュリティAtoZ)
- <オルタナティブ・ブログ>三菱UFJ証券の漏えいで改めて考えるデータ管理。機密データをあえてクラウドに置いてみる?(Azureの鼓動)
- <オルタナティブ・ブログ>情報漏えい対策の難しさ(成迫剛志の『ICT幸福論』)
- <オルタナティブ・ブログ>職業倫理観の欠如(Touch and Go)
- <オルタナティブ・ブログ>情報漏洩後の対処をどうするか(「走れ!プロジェクトマネージャー!」)
- <オルタナティブ・ブログ>三菱UFJ証券情報漏えい事件にみる社内コミュニケーションの欠如(小本 恭の「IT広報室の雑記帳」)
- <オルタナティブ・ブログ>セキュリティの話 その1(無事今日も終了です)
世界同時不況で企業情報流出のリスク増大
経済危機で犯罪組織が企業情報を狙うケースは増え、雇用不安定化で従業員による内部犯行の懸念も高まっている。
情報漏えいの発生――その時になすべきことは?
企業が直面する最大のセキュリティ課題が「情報漏えい」であり、実際に起きれば適切かつ確実な対応が求められる。情報漏えい事故をモデルケースに、シーサートが果たす役割をみていこう。
解雇の契約社員、企業データの消去を狙う
仕掛けられた悪質なコードは2009年1月31日午前9時になるとサーバ上の全データを消去してしまう設定になっていた。
情報漏えいの対応費用は1件200ドル超に
2008年に起きた情報流出に関してかかったコストは1件あたり平均665万ドルで、年々上昇している。
企業でのデータ盗難は大半が内部犯行、米司法省調べ
データ盗難に遭った企業の75%は、従業員や業務委託先、取引先といったインサイダーの犯行だったと報告している。