チャットサポートから顧客情報不正入手し無断契約変更
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月2日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・「内部犯行」へのセキュリティ対策
今回の解説ニュース
取引先による顧客情報の不正な入手と利用が判明したということです。入手した顧客情報の利用や内部犯行で気を付けるべきポイントについて説明します。
取引先がホームページのチャットサポートを悪用して顧客に成りすまし、顧客情報を不正に入手したということです。入手した顧客情報は営業活動や、顧客の同意なく契約の切り替えに利用しようとしたことが、顧客の問い合わせから判明しました。
被害を受けた企業は再発防止策として、チャットサポートのシステムに制限を設定することで、不正に顧客情報が取得できないようにしたということです。また、不正に取得された顧客情報による契約変更は無効とされています。
「内部犯行」へのセキュリティ対策
主に情報システムを対象とした内部犯行を防ぐ対策について説明します。IPAが2013年に作成し、現在は第4版が公開されている「組織における内部不正対策ガイドライン」では、次の5つを内部不正防止の基本原則としています。
■1つ目は「犯行を難しくする」ことです。
内部犯行も想定したセキュリティ対策を行うことで、犯罪行為をやりにくくします。アカウント管理や入退出管理、データの持ち出し制限などが含まれます。
■2つ目は「捕まるリスクを高める」ことです。
管理や監視を強化することで、犯罪行為をやると見つかるようにします。監視の強化や共有アカウントの廃止、単独作業の制限などが含まれます。
■3つ目は「犯行の見返りを減らす」ことです。
犯行者が得られる利益を減らすことで、割に合わない状態にして犯行を未然に防ぎます。データのアクセス制御や削除、暗号化などが含まれます。また、犯行が明らかになった際は、速やかに警察への届け出ることも重要です。
■4つ目は「犯行の誘因を減らす」ことです。
犯罪を行う気持ちにさせないことで、犯行を抑止してその気にさせないようにします。業務上のストレス軽減や圧力の緩和、模倣犯の阻止などが含まれます。公正な人事評価や円滑なコミュニケーションで解決できる問題かもしれません。
■5つ目は「犯罪の弁明をさせない」ことです。
犯行者が自らの行為を正当化する理由を排除することで、言い訳をさせないようにします。規則やコンプライアンスを定めて、教育を徹底します。契約書へのサインやポスターなどで良心に訴えかけることも有効かもしれません。
内部犯行は防ぐことも、気が付くことも難しいインシデントの一つです。人は弱いという「性弱説」に基づいて、不幸な内部犯行者を生まないセキュリティ対策が組織として実施できるといいですね。