ある日、あなたが預金通帳を記帳すると、1週間前に50万円が引き出されていた。全く身に覚えがない。インターネットバンキングは使っていないし、キャッシュカードも届出印鑑もちゃんと手元にある。一体誰が、どうやって…。逮捕された容疑者はハッカーでも銀行員でもなく、ひとりのエンジニアだった。
NTTデータが管理・運営する地銀共同センターは、地方銀行13行が共同利用する勘定系の「クラウド型サービス」だ。このシステムのメンテナンスを受託する会社の58歳の男性従業員Aが、作業中に顧客データを抜き取ってキャッシュカードを偽造。見知らぬ預金者の口座から現金を盗んだのだという。
開発と運用を厳密に分ける原則になっていたが…
家宅捜索により、Aの自宅からは複数の偽造カードが押収されており、この半年間に17もの口座から約2000万円を盗んだ疑いがもたれている。
カードの盗難、フィッシング詐欺、振り込め詐欺、金融機関職員による横領…。預金者はたくさんの危険にさらされているが、どれも自分が気をつければ防ぎようがある。しかし、ATMを利用した際の口座番号や暗証番号が、クラウドから掠め取られたのでは、どうすることもできない。
NTTデータの社長は「共同センターの信用を大きく損なう事態で遺憾」と謝罪したと報道されているが、システムベンダーはもちろん、銀行業界全体の信用の根幹を揺るがしかねない一大事だ。「タンス預金のほうが安心」と思われかねない。
地銀共同センターのような基幹システムでは、情報セキュリティの観点から開発と運用の担当者を厳格に分ける。Aのような開発エンジニアは、顧客データなどを扱ういわゆる「本番環境」には一切タッチさせないのが常識だ。同センターもそのような原則にはなっていた。
しかし、二次下請けの従業員であるAは、当初の開発段階からこの業務に携わり、このシステムに精通していたせいもあってか、システム更新やトラブル対応などの際には、例外的に本番環境を扱うマシンルーム内に入って作業に立ち会っていたそうだ。
不正を予防するには「盗人のように考えろ」
高い能力を備えた者が、相手からの信頼を逆手に取り、例外運用を悪用して管理の盲点を突く。不正リスクが顕在化する典型的なパターンだ。おかしな言い方だが、実行不可能な不正は起きない。「あり得ない」と目を背けても何の解決にもならない。
不正対策の専門家であるCFE(公認不正検査士)は、“Think like a thief.”という言葉を肝に銘じている。「盗人のように考えろ」とは、不正リスクを評価する際には、
「自分がこの業務の担当者だったら、どんな不正を思いつくだろうか」
という視点であらゆる手口を検討しろということである。そうすることで「想定外」のリスクを減らすことができる。各システムベンダーは、今回の事件を受けて「自分たちのところでは同じようなことが起きないか?」と自問してほしい。
NTTデータは緊急対策として、重要情報へのアクセスを専用ツール経由に限定し、システム運用者や開発技術者が暗証番号を見られないようにしたという。それもひとつの防止策だろう。
とはいえ、その抜け穴をさらに突いてくる不正もありうる。不正リスクを完璧にゼロにするのは無理だし、コスト面からも現実的ではない。まずは例外運用を認めず、できる社員に任せきりにしないなどの基本を貫き通すことから心がけたい。(甘粕潔)