2008年4月22日火曜日

アクセス権限が承認された担当者による悪意ある行動は防げるか

朝日新聞のWebを読んでいて気になる記事がありました。ある刑事事件に関する記事なのですが、その容疑者の行動に表題に掲げた命題(と私は思っています)にか係る事柄があったのです。

以下は、朝日新聞のWebからの引用です。
 

東京都あきる野市の資産家の姉弟の行方不明事件で、口座から現金を引き出したとして窃盗容疑で逮捕された無職沖倉和雄容疑者(60)が、同市役所に勤務していた当時、市民の資産に関する情報を把握できる立場にいたことがわかった。警視庁は、沖倉容疑者が市職員の仕事を通して得た情報を事件に利用した可能性もあるとみて調べている。
 行方がわからないのは、調布市立図書館職員大福康代さん(54)と弟の広和さん(51)。
 あきる野市役所によると、沖倉容疑者は民間企業などを経て77年に旧秋川市(現・あきる野市)の職員に採用され、税務課や福祉関係の部署などで働いた。04年4月からは市民部保険年金課長補佐を務め、同年12月、「一身上の都合」を理由に退職した。同課長補佐のポストは、市民の名前や住所のほか、市民が所有する土地の所在地や評価額など資産に関する情報や給与情報にアクセスする権限を与えられているという。 
 大福さん方は、親の代から周辺に土地やアパートなどを所有する資産家として地元では知られている。姉弟は98年11月に母親から土地を相続する際、「相続税支払いのため」として、近くに所有する土地を約3億3千万円で同市に売却。05年度には、別の土地を約1億円で同市に売却した。07年には逆に、約1億円で市から土地を購入している。
 
五日市署捜査本部は、沖倉容疑者が大福さん姉弟のこうした資産状況を把握し、預金を狙った可能性があるとみて捜査。姉弟のキャッシュカードや暗証番号の入手の経緯などを調べている。
 
調べでは、沖倉容疑者は今月11日に康代さんのカードで120万円、福生市の土木業伊丸岡頼明容疑者(64)は12日に広和さんのカードで50万円を引き出したとして逮捕された。姉弟のカードでの全体の引き出しは9~14日の計五百数十万円にのぼる。


 記事からすると、容疑者は、市役所の在職中に今回の犯行に繋がる情報を得たようです。しかも、その情報にアクセスする権限を職務上必要ということで、付与されていたと思われます。ということは、容疑者が在職中に正式に付与された権限で情報にアクセスし、その情報を基に今回の犯行に及んだとすれば、それは由々しき事態です。
 在職中は、職務上当該の情報にアクセスすることが認められていました。問題は、退職後に当該情報を持ち出したことです(一件だけでなく可なりの量の情報を持ち出した可能性もあります)。
 今回の容疑者のように正式にアクセス権限を付与された担当者が悪意をもって不正な行動をとろうとする時(ここでは、退職後のデータの不正な持ち出し)、これを防ぐことはできるでしょうか?
 
 私は、完全に無理だとは思いませんが、困難なことだと思います。アクセスすること自体は正式なアクセス権限を付与されているので、形式上問題はありません。今回は明らかに持ち出しをしています。これは、問題ありですね。
 大量データの持出ならば、可搬記憶媒体の制限などの方法で防止することできますが、特定の情報を狙い撃ちした場合は、メモにとるとか暗記してしまうことで、簡単に持出ができ、また防止策は無いような気がします。
 特定の人物の資産状況、または逆引きで大きな資産を保有している人など、対象を絞り込んで情報検索し、悪用できる情報をピンポイントで権限ある担当者がアクセスすれば、その行為を押さえ込むことは難しいのではないか、この記事を読んでそんな危惧を覚えました。
 

0 件のコメント:

コメントを投稿