ゆるふわSEの日常♪

IT業界でゆるふわSEになりたい人あーつまれ(*´▽`*)♪

トップ > 02_IT♪ > システム管理者による不正を防ぐには?!~松井証券の不正送金事案について~

システム管理者による不正を防ぐには?!~松井証券の不正送金事案について~

02_IT♪ 02_IT♪-01_ゆるふわSE論♪

おはこんばんちは!

ゆるふわSEの「ゆるちょここ」です♪

 

皆さんは「システム管理者」って言葉にどのよぉなイメージを持っていますでしょーか???

IT業界以外の業界ではあまりなじみのない言葉かもしれませんが、基本的には文字通りユーザへ提供/ユーザが利用している「システムの管理者」ということで、当該システムの運用/保守(開発もあり)等を管理する「システムについて一番詳しくて、その設定などを自由自在に操れる(権限/操作双方の意味で)人」のことを言ったりします。

そのシステムの規模の大なり小なりはあれど、システムごとに誰かが管理者として割り当てられたりしていて(小さいシステムの場合は明確には割り当たってない場合もあるかもですが)、だいたいは企業の情報システム部門内(社内)で管理していたり、情報システム子会社であったり、外部のITベンダ(社外)に外注して管理していたりすることが多いんじゃないかなーと思います!

システム管理者さんの主な役割としては、システムがいつも通りちゃんと動くよぉに頑張ったり、障害が起こった時に復旧したりと、表立ってポジティブに目立つことは少ないけれど、「企業のITインフラを裏で支える縁の下の力持ち的なとても重要な役割」を担っていたりします。

上記のよぉに、システム管理者さんというのは、そのシステムにおいては経営における企業のCEOみたいなもんで、システムの専門家であり、その他の部門の方からしたらシステムに関しては信頼できる頼もしい存在だったりします!

が、、、

今回、松井証券のシステムを担当していた外注先の熟練のエンジニア(システム管理者)が不正出金の不祥事を起こしたというちょっと衝撃的なニュースが飛び込んできましたので、そちらを題材に「システム管理者による不正を防ぐにはどーしたらよいか?!」

ってのを考えていきたいと思いまーす!!!

 

f:id:senonichijo:20210413085544j:plain

 

 

 

下記、ニュース記事を引用しながらコメントしていきます!

www.weeklybcn.com

 

SCSKの元社員が顧客企業である松井証券の証券口座から2億円を不正に出金・着服したとして、3月24日、電子計算機使用詐欺罪などの容疑で逮捕された。

情報サービス業界にとって大きな衝撃だ。

元社員は2002年4月に日本フィッツ(現SCSK)に入社し、19年にわたって松井証券のシステムを担当してきた熟練エンジニアで、「勤務態度も問題なく」(SCSKの工藤敏晃・常務執行役員金融システム事業部門長)、松井証券からの信頼も厚かった。

しかし、17年6月頃から不正に入手した松井証券ユーザーのID・パスワードを使ってユーザーの株式を勝手に売却し、現金を手にしていたという。

19年もの熟練のシステム担当が、

勤務態度も問題なく見えたのに、、

不正に入手したID/PASSでユーザの株式を勝手に売却して2億円着服だと、、、

うへぇ・・・(´・ω・`)

色々と言いたいことはあるのですが、色んな意味で「きっつー(´・ω・`)」な事案ですね・・・w

 

ちょい前にみずほ銀行のシステム障害起こりまくりな件を考察したり、、、

www.yurufuwase.com

 

東証のシステム障害等のシステム障害関連のニュースを考察したりしてきましたが、、、 

www.yurufuwase.com

 

この2つのニュースも基本的に止まってはいけない金融機関のミッションクリティカルなシステムが止まったということで、結構でかいニュースですが、これらは言うてもなんらかの「ミス」の可能性はあっても、「悪意」は多分ない。いわば「事故」みたいなもんだと思うんですよねぇ。

だけど、この松井証券のニュースは「完全なる悪意による犯行」ってとこで、「障害」ではなく、「不正」ってところが違う意味でインパクト超でかいとこです・・・(´・ω・`)

松井証券のシステムは、冒頭で説明した社内での管理ではなく、社外(SCSK)に外注して長年お任せしてるよぉに記事内容からは読み取れますが、利用しているユーザにとってはそんなの知ったこっちゃないし、誰が管理してよぉがちゃんと利用できれば問題ないわけです。

よって、外注が問題を起こしたとしても、ユーザから見れば「うわ、松井証券超やべーじゃん(´・ω・`)」と、発注元の企業イメージが劇的に下がっちゃうわけですね。

そのイメージ低下による未来にわたっての企業の経済的損失はきっと計り知れないだろーなぁって思うし、発注元企業としては犯人を契約解除しても取り戻せないし、そんな事しでかしちゃうベンダとは即取引停止の巨額の損害賠償請求でもおかしくないレベル感だと思うんですよねー。

発注先企業としても、自社の社員がそんなこと起こしちゃったということで、その他の取引先からの信用も棄損しちゃって、発注元のユーザ、発注元、発注先、発注先の取引先と「本当に誰も得しないという超ぴえんな悲しい事件」だなーと。。。(´・ω・`)

とまぁ、その位システム管理者による犯罪は「罪深い」って感じですねー。

信用を築いていくのは一朝一夕じゃーできないけど、失うのは一瞬で、それを取り戻すのは、むーっちゃくちゃ時間がかかるし、もしかしたら永遠に取り戻せないかもしれないですからね。

てか、私もいくつか証券口座を持っていますが、松井証券を愛用してる一人のユーザだっただけに、被害はなかったものの私からの信用も若干失っちゃってますからね(`・ω・´)(激おこw)

 

ユーザーデータの入手経路は、松井証券の基幹システムのバックアップファイルを、本来転送してはならないSCSKの開発環境のシステムへ転送し、そこから顧客情報を抜き取ったものと見られている。

約210人分の顧客情報を抽出し、うち実際に被害に遭ったのは15人だとされる。

17年6月ごろから被害15人の総額2億円って、最初うまくいったからと何度もわるいことしちゃった感じなんですかね?!

てか、「2億円」って。。。

そんなに何に使うの?!?!?!w

 

松井証券の基幹システムのバックアップは、運用を受託しているSCSK側の通常の業務として松井証券のシステム担当者の了承を得て定期的に行っている。

本番システムに何らかの障害が発生したときにSCSK側からリモートでログを参照するなどの保守作業を行うため、本番環境とSCSK側の開発環境はネットワークで結ばれており、「このネットワークを悪用するかたちでバックアップを不正に転送した」(本件調査チームを担当したSCSKの福永哲弥取締役専務)という。

 

SCSKや松井証券が調査を進めたところ、不正を見つけられたはずのポイントがいくつかあったという。

まず、ネットワーク監視の適切な体制・仕組みがあれば、バックアップファイルがSCSK側の開発環境に転送された際に発見できた可能性があり、たとえリアルタイムで見つけられなくてもログから異常を検知することができたとしている。

さらに、バックアップファイルから抽出しユーザー情報を電子メールでエンジニア個人の私用メールアドレス宛に送った際も、不正なメール送信を防止する仕組みをすり抜けており、詳細を検証すべき課題として挙げている。

 

f:id:senonichijo:20210413091736p:plain

なるほどねー(´_ゝ`)

開発環境へのファイル転送の監視や、不正なメール送信防止で防げた可能性はあると。

外部からの不正なアクセスによる情報漏洩とかはぽちぽち起こってニュースになったりするので、そちらに対する対策は結構厳重にしたりするのですが、内部の犯行を防ぐセキュリティ対策は、確かに外部からのセキュリティ対策より優先度は落ちそうだし、どこまでやるかの程度問題はどの企業にもありそーな気がします!

まぁでも業務に関係のない事は一切できないよぉなガチガチなセキュリティにしている企業さんもあったりするので、性善説的に人を信用しないわけじゃないですが、システムで物理的に内部の不正ができないよぉにするのが一番ではあると思います!

お金かかるとは思いますがw

 

SCSKの谷原徹社長は再発防止策として、「適切なジョブローテーション(異動)や、常に最新の技術を駆使した多重的なチェック体制を強化する」との方針を発表した。

個人情報に触れる可能性がある業務については、顧客からいかに信用が厚いエンジニアだとしても定期的な異動を行うことで、不正の温床を排除するという意図だ。

同時に、ログの分析能力の向上や、分析結果を複数人でチェックする仕組みの徹底、ログ監視そのものの高度化なども再発防止につながる施策として取り組みを進める。

(安藤章司)

再発防止策としては、まぁこんなもんかなーって気がしますが、究極的には悪意を持ったシステム管理者による不正を完全に防ぐことは結構難しいんじゃないかなーと個人的には思います。

なので「適切なジョブローテーション」などという謎に知恵を絞りだしたよぉな再発防止(ジョブローテする前の不正は防げないやんw)が出てくるんだと思います。

まぁ今回は外注先のシステム管理者による不正なので、外注先の権限を落としたり、外注を使わないで、社内で管理するって方法もあるかもですが、どこまでいってもそのシステム管理者に悪意があった場合は同じよぉな不正が起こる可能性はあるかもなわけです。

本事象に関して言えば、上記システム系のセキュリティ強化で物理的に不正ができないよぉな仕組みにしてしまうのは確かにいーかと思いますが、一番は「モラル」の問題ですよね。

そーいった「コンプライアンス」や「モラル」の継続的な再教育っていうのが、システム面とは別の側面として地味ですが不正を未然に防ぐためにできることの一つなのかなーと。

例えば、情報漏洩はある程度システムで防げますが、悪意を持った行動による障害とかも不正に含めてしまうと、そのシステムに携わってる管理者だったら、サーバの電源を物理的にぽちっと落としちゃったり、LANケーブルぶすっと抜いたりとかで、さくっと大障害とか起こせちゃったりする場合もあるわけですよ。

でも、そんなこと天地がひっくり返っても普通はしないですよねwww

「モラル」ってそういうもんなんだろーなぁって思います!

 

一度失った信頼を取り戻すことは難しい。

松井証券さんと、SCSKさんにはしーっかり再発防止してもらって、これからも信頼回復のために頑張ってほしいものです♪

 

不正、ダメ、絶対(`・ω・´)シャキーン