セキュリティの
学び場

今回の解説ニュース

元従業員が顧客の電子マネーを不正に詐取していたということです。内部犯行の対策と、多要素認証の必要性について説明します。

今回のインシデントは、顧客が保有する電子マネーが詐取されたというものです。原因として、電子マネーお問合せセンターの業務にて、元従業員が一部の顧客情報を不正に利用したことが挙げられています。

対策として、元従業員が不正行為を認めているため、懲戒解雇処分としています。再発防止策として、原因の究明と被害状況の把握に努めるとともに、コンプライアンスを強化するということです。

内部犯行の対策

内部犯行の対策として、犯行を困難にすることや、社内ルールの設定と厳罰化、従業員の満足度を上げることが挙げられます。

例えば、おーはるさんがギャンブルで勝負するタイミングを考えたとします。勝てる確率が低かったり、見返りが少なかったりする際は、ギャンブル自体をやめてしまうかもしれません。それでも、お金に余裕がない状況に限って、無茶な勝負に出てしまうことがあるかもしれません。気を付けましょう。

内部犯行も同様に、犯行に至る機会と動機の両面から、対策を検討することが必要です。まず、内部犯行を困難にする上で、社内システムであっても、基本的なセキュリティ対策はもれなく行いましょう。従業員がアクセスできる情報についても、必要最小限であることが望まれます。加えて、不正アクセスを行った際の社内ルールを設定し、罰則を明確化しましょう。厳罰化することで、犯行に至るリスクを従業員へ十分に理解してもらいます。さらに、従業員の満足度を上げることにより、犯行に至る動機も抑制しましょう。従業員の不満を放置してしまうと、犯行を正当化させる要因にもつながりかねません。

内部犯行に対するセキュリティ対策については、IPAが公開している「組織における内部不正防止ガイドライン」が参考になるかもしれません。

多要素認証の必要性

多要素認証の必要性について、サイバー攻撃の増加を鑑みると、今後ますます重要になることが考えられますので、積極的に利用することが求められます。

今回のインシデントに限らず、フィッシング詐欺やランサムウェア感染など、様々な要因により、ユーザが所有するアカウントは常に脅威にさらされています。そのような状況で、パスワードの知識要素だけで、大切なアカウントを守ることは現実的に困難です。

そこで、知識要素以外に所持要素や生体要素を組み合わせた、多要素による認証が求められます。知識要素がユーザだけが知りうるパスワードや秘密の質問であるのに対し、所持情報はユーザが持つデバイスであるスマートフォンやICカードが挙げられます。生体要素としては、ユーザの身体的特徴である顔や指紋、静脈などが挙げられます。それぞれにはメリットとデメリットがありますので、複数の要素を組み合わせることで、セキュリティを強化することが可能となります。