アクセス管理に問題

三菱UFJ証券による顧客情報の漏えいと不正販売事件について、情報セキュリティに詳しい情報セキュリティ大学院大学の内田勝也教授に聞いた。 三菱UFJ証券は4月8日、同社の元従業員が約148万人の顧客情報を不正に持ち出し、このうちの約5万人の情報を名簿業者に販売したと発表した。警察と協力し、元社員を告訴する方針という。情報セキュリティに詳しい情報セキュリティ大学院大学の内田勝也教授に聞いた。（ニュース） 148万件に上る全顧客データをなぜ持ち帰れたのかが疑問だ。報道では、システム部の元部長代理が職権を利用し、顧客ファイルのファイル名を変えてサーバに保管し、オペレーターに情報を少しずつCDに書き込ませたというが、部長代理という職がそれほど高い役職とは思えない。どちらにしても、金融機関が役職に振り回されているのはよくない。 実際には、ほかの人間でも不正を実行できたのではないか。データの参照権限を定

[JULY]

「部長代理という職がそれほど高い役職とは思えない」オペレータにとっては相対的に十分高い役職だと思うが...。

[itochan]

ファイル名じゃなくてファイルの中身で管理したらだめだったのかな　　＞システム部の元部長代理　＞顧客ファイルのファイル名を変えてサーバに保管し、オペレーター

[mtakeshidpostjp]

もう1つ気になるのは、漏えいしたデータが本番データだったのか、テストデータなどの本番以外のだったのかだ。本番データだとしたら、アクセスコントロールの甘さの問題になる。一方、テストなどで利用していたデー