« システム監査小論文執筆の心構えについて |
メイン
| 2006年4月16日 2006(平成18)年度システム監査技術者試験
解答速報目次 »
2006年04月02日
システム監査試験、直前対策は基本に返れ!
経営と内部統制
朝日新聞記事から「監視責任者情報盗む」
朝日新聞を読んでいたら次のようなことが書かれていました。NTTデータの派遣社員、田中守容疑者が
派遣先の仙台銀行の顧客17人分のローンカードの暗証番号を盗み、偽造カードを作成し3100万円をATMから
引き出したそうです。田中容疑者はNTTデータのコンピュータセンターに勤務していた監視責任者であり、
出力プログラムを改ざんして暗証番号を含むローンカードデータを印字しカード偽造を行ったようです。
上司には「プログラム改善作業中」と嘘の報告をした上で、入退室記録を指紋で行っていたようですが、
そのデータも改ざんしていました。
NTTデータは地方銀行の勘定系システムでシェアが高く、銀行システムのアウトソーシング先として有名で
その結果として業績を伸ばしてきた経緯があります。今回の事故でNTTデータに対する信頼が低下することが
予想されます。
問題点の整理
この事件の問題点を整理すると次のとおりとなります。
- コンピュータのセキュリティシステムは機能していた(ITの不備ではない)
- 上司は十分キャリアのある人材の派遣を受けて、監視業務を担当させていた
- 上司は偽りの報告を信用して業務を任せていた
- 田中容疑者は会社や上司の信頼を裏切って犯罪行為を行った
- しかし、結果として会社も信用を失い、組織的に上司も責任を問われることになろう
- しかし、組織業務はもともと人を信用しなければ成り立たないものである
ポイントは①ITではなく人の問題であること、②組織は人を信用しなければ仕事は進められないこと、 ③にもかかわらず、一端、事件が起こると組織も上司も責任が問われること。
コントロールの何が欠けていたのか
恐らく、上司の不運を認めつつ、次のようなセキュリティコントロールが不足していたため、 今回の事件が発生したものと思われます。
コントロールの不備
- カード作成が権限者であっても1人で作成できるルール、仕組みだったことが問題
- 田中容疑者の報告を鵜呑みにしていて、定期的点検を怠ったのではないか
- オペレータとプログラム改定者が同一人物だったのが問題
人材不足の中小企業ではよくあることですが、大企業でオペレータとプログラマが同一人物という点に 疑問をもちました。
内部統制コントロールのあるべき姿
上記の教訓を踏まえて、本件のあるべき姿を申し述べます
- カードデータの作成、更新作業は複数の人間で実施すべき(内部統制 internal control)
- システムの定期的点検(本番データの改ざんの点検)
- オペレータとプログラム改定者が同一人物であってはならない(職務の分離)
重要なことは
整理していて気がついたことは、当たり前のコントロールができていなかったということです。 繰り返して言います。以下の点は旧制度の試験前からいわれていた重要なコントロールです
- 内部統制(あるいは、内部けん制)
- 定期的点検
- 職務の分離
直前対策、奇をてらうより基本に返れ!です。
※参考:朝日新聞2006年3月29日号NTTデータ「監視責任者情報盗む」
※(c)(有)アイ・リンク・コンサルタント 加藤忠宏
投稿者 kato : 2006年04月02日 16:53
トラックバック
このエントリーのトラックバックURL:
http://www.katoken.gr.jp/bin/mt-tb.cgi/801
コメント
加藤先生
お邪魔します。
セキュリティシステムが完璧でも、
人間をチェツクする体制が問題だったんですね。
勉強になりました。
Winnyでの機密漏洩も、人間をチェツクする体制が問題だったんでしょうね。
「性悪説」で人を見ないといけない、世の中は淋しいですね。(韓非子?)
投稿者 こあきんど : 2006年04月14日 22:42
こあきんどさん
>お邪魔します。
こんにちは
>セキュリティシステムが完璧でも、
>人間をチェツクする体制が問題だったんですね。
結構、それが盲点になっているんですね
>Winnyでの機密漏洩も、人間をチェツクする体制が問題だったんでしょうね。
おっしゃるとおりです
>「性悪説」で人を見ないといけない、世の中は淋しいですね。(韓非子?)
監査人に関する限りおっしゃるとおりです。
しかし、システムアナリストはたとえ、経営者に裏切られても性善説でないと勤まらない仕事です。
投稿者 加藤忠宏 : 2006年04月16日 20:05