2006年はインサイダーによる漏洩に注意(2)内部からの攻撃は急増、その対策は

●外注先で従業員がデータを売却

近年、業務の一部を人件費をはじめとする、経費節減のために海外に委託することが増えている。中でも急成長しているインドで事件が相次いでいる。インドは特にIT関連の業務の外注先として注目されている中、セキュリティ確保について懸念されている。

2005年4月に、インドの企業MhasiSでコールセンターの元従業員3人が米国Citibankの顧客から40万ドル以上を盗難したことが報じられた。MhasiSは南インド、カルナータカ州の州都、バンガロールとインド・マハラシュトラ州で2番目に大きな都市プネーに事務所を所有。ITソリューション、BPO(ビジネス・プロセス・アウトソーシング)サービスを提供する。

Citibankがカスタマーサービスに利用するMhasiSの3人の元従業員が4月6日に逮捕されている。事件ではまず、4人のCitibankの顧客が、35万ドルが盗難されたことに気付き通報。同様にデータを用いて、7万5000ドルを犯行グループが不正に取得していた。

3人はコールセンターで業務を行うという立場を悪用して、顧客からPINナンバーを聞きだした。その上で、口座へのアクセスを獲得。仲間の9人の口座へ顧客の資金を送金していた。

事件直後、Mphasisでは「（同社の）セキュリティは機能していて、残念ながら、銀行の顧客がパスワードをサービススタッフに提供したことにも問題があった」という旨の声明を発表している。逮捕された3人はこれまでに犯罪歴などはなかった。3人は12月に退職している。

●増加する内部からの攻撃

現在、企業の情報システムへの内部からの攻撃が増えていると考えるセキュリティ管理者は増加している。2005年6月にデロイト・トウシュ・トーマツが発表した2005年度版「Global Security Survey（グローバル・セキュリティ調査）」で、“フォーチュン100”のうち、アンケートに回答した34％は過去12ヵ月の間に内部からの攻撃を受けたという。これは2004年の14％から大幅増だ。

興味深いのは、実際にインサイダーによる攻撃を受けているにも関わらず、82％の回答者が内部からの攻撃に対してネットワークが保護されているかどうかについて、「とても自信がある」あるいは「幾分、自信がある」と答えていることだ。53％が「とても自信がある」、16％が「極度に自信がある」だ。

セキュリティ関係者は、情報化時代の課題は、大量にデータを保存、配信する大規模な企業にとって、情報漏洩を防ぎ、たとえ漏洩事故があってもそれを迅速に探知することだと認識している。企業はインサイダーの脅威の範囲などを洗いなおす必要があるという声も高まっている。その上で、必要な新しい技術、処理プロセス、事務管理などを導入しなければならない。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html