全2782文字
PR

ジョブローテーションも必須

 では、SCSK以外のITサービス企業は内部不正対策にどう取り組んでいるのか。日経クロステックは大手8社にアンケートを実施した。

ITサービス大手8社における内部不正対策の取り組み
社名主な取り組み
NEC・システムや体制面の対策(ログ監視、重要度に応じた情報保管など)
・情報セキュリティーと個人情報保護に関する教育や啓発活動
・従業員から情報セキュリティールールや社内システム利用に関する誓約書を取得
・開発環境におけるガイドラインで運用ミスや不正対策に関する対応方法を提示
・委託先、再委託先との個人情報保護や秘密保持に関する義務を契約で規定
NTTデータ・システムや体制面の対策(アクセス権管理、入退室制御、ログ確認)
・システム管理者による対策実施状況の定期点検
・委託先との契約や発注時の対策(機密保持契約、機密情報管理状況の監査、発注時の複数人確認)
TIS・システムや体制面の対策(監視、アクセス制限、複数人作業、ログ確認など)
伊藤忠テクノソリューションズ・システムや体制面での対策(メール送信制限、データ移動の制限、アクセス制限、シンクライアントの利用、ログ取得)
・セキュリティー全般の定期的な全社研修
・入退社時および年次でセキュリティーやコンプライアンスに対する誓約書を取得
・委託先選定時に情報セキュリティー管理体制を重視
・定期的な情報管理の確認
日本IBM・システムや体制面の対策(複数人作業、ログ取得など)
・年次のセキュリティー教育や禁止事項等の注意喚起
日本ユニシス・システムや体制面の対策(生体認証による入退室管理、監視、ログ監査、シンクライアントの利用、データの持ち込みや持ち出しの制限など)
野村総合研究所・役職員が取り扱う情報資産を保護するための管理規定に基づきセキュリティーに関する実施要項を策定
・プロジェクト単位でセキュリティールールを作成し運用
・セキュリティールールの適用・運用状況を所管部署が定期的に確認
富士通・システムや体制面の対策(アクセス権管理、ログ検証、不法侵入や持ち出しの管理、情報のマスキング、貸与媒体管理)
・開発担当者と運用担当者の分離、管理者と担当者の分離などによるけん制

 システムや体制面の対策としては作業者のアカウントごとのアクセス制御だけでなく、場所や端末によっても制限し、作業状況を監視している企業が多い。不正をけん制するため、複数人での作業を原則としているところもある。日本IBMは「顧客の本番環境へのアクセスは2人体制で実施。作業ログの取得や再鑑(2人の担当者による確認)といった不正防止対策を導入し、監視している」とした。

 このほか、データの持ち出しを防ぐ取り組みとしては、「機密度が高いと認定した情報はセキュアストレージで保管」(NEC)、「シンクライアント端末やセキュリティー製品の機能などにより、データの持ち込みや持ち出しができないよう制限」(日本ユニシス)などが挙がった。

 今回のような内部不正を防ぐにはジョブローテーションも大切だ。SCSKの谷原徹社長は「松井証券のシステムに携わった時間が長いことが直接の原因とは考えていない」としたものの、一定期間で異動していれば防げた可能性が高い。一般にジョブローテーションは様々な経験を積ませるための人材育成を狙いとするが、「権限の長期集中の防止」(NTTデータ)や「業務属人化の防止」(伊藤忠テクノソリューションズ)を目的に挙げる企業も多かった。

 SCSKもジョブローテーションを取り入れていた。しかし、「専門性が要求される業務の特性上、技術的に高度なシステムの安定運用には経験の長さが有効に働くことから、担当期間が長期にわたる場合もあった」(広報)。富士通はこうした例外を認めることなく、「同一顧客の同一システムに一定年数以上従事する社員」をジョブローテーションの対象にすると日経クロステックのアンケートで明言した。

 今回の事件が起こった原因はシステム委託先のSCSKだけでなく、委託元の松井証券にもある。長く付き合いのあるベンダーは事情を心得ており、「あうんの呼吸」で意思疎通が図れるため重宝したくなるものである。だが委託先の不正に目を光らせるのは、他ならぬ委託元の重要な役割だ。松井証券は事件を受け、開発環境の管理をSCSKから自社へ移管することを決めた。システム委託元もいま一度、自社の管理体制を見直したい。