金融業務受託会社におけるセキュリティ管理上の留意点

金 融 業 務 受 託 会 社 における セキュリティ 管 理 上 の 留 意 点 はじめに 現 在 大 部 分 の 金 融 機 関 において ITコスト 削 減 や 業 務 効 率 化 等 を 主 な 目 的 としてシステム 開 発 運 用 業 務 の 外 部 委 託 (アウトソーシング)を 行 っていることは 言 うまでもありませんが 最 近 では 再 委 託 ( 外 部 委 託 先 による 外 部 委 託 ) 再 々 委 託 ( 再 委 託 先 による 外 部 委 託 )を 行 うケースがかなり 多 くなってきています その 一 方 で 外 部 委 託 先 ( 再 委 託 先 再 々 委 託 先 を 含 む)の 社 員 がATM 取 引 情 報 の 不 正 取 得 によりキャッ シュカード 等 を 偽 造 し 不 正 出 金 にまで 及 んだ 事 件 が 次 の 通 り 依 然 として 後 を 絶 たない 状 況 です 外 部 委 託 先 で 発 生 したカード 偽 造 事 件 1 地 方 銀 行 でのローンカード 偽 造 事 件 (2006 年 2 月 ) ローンカード 情 報 を 不 正 に 持 ち 出 し ローンカードを 偽 造 偽 造 カードを 使 用 し キャッシングを 実 施 2 共 同 センターでのキャッシュカード 偽 造 事 件 (2012 年 11 月 ) 再 委 託 先 の 技 術 者 がATM 取 引 情 報 を 不 正 に 取 得 し キャッシュカードを 偽 造 偽 造 カードを 使 用 し 不 正 出 金 3 地 方 銀 行 でのキャッシュカード 偽 造 事 件 (2014 年 2 月 ) 再 々 委 託 先 の 部 長 級 社 員 がキャッシュカード クレジットカードの 情 報 を 不 正 に 取 得 し キャッシュ カードを 偽 造 偽 造 カードを 使 用 し 不 正 出 金 こうした 事 態 を 受 け 2014 年 3 月 には 金 融 庁 より 外 部 委 託 先 社 員 による 不 正 出 金 等 の 発 生 を 踏 まえた 点 検 と 称 し 各 金 融 機 関 に 対 してセキュリティ 管 理 にかかる 自 主 点 検 が 要 請 されています 自 主 点 検 内 容 は キャッシュカードの 暗 証 番 号 等 の 顧 客 の 重 要 情 報 をキーワードとして それらが 漏 洩 するようなセキュリティホールがないことを 外 部 委 託 先 の 実 態 把 握 ( 見 える 化 )を 含 めてより 詳 細 に 追 求 する ことが 求 められており これまでの 外 部 委 託 管 理 の 水 準 では 必 ずしも 十 分 ではないとみなされる 可 能 性 があります 新 日 本 有 限 責 任 監 査 法 人

外 部 委 託 管 理 というと 通 常 各 金 融 機 関 ( 業 務 委 託 元 の 立 場 )における 話 になりがちですが 本 稿 では 金 融 業 務 を 受 託 す る 会 社 (ベンダー)の 立 場 における セキュリティ 管 理 に 焦 点 を 当 て いくつかの 事 例 を 示 しながら そのポイントについて 説 明 します なお 金 融 業 務 の 中 でも 今 回 は 特 に 次 の 業 務 を 対 象 と します ATM 監 視 保 守 運 用 預 金 口 座 の 暗 証 番 号 暗 号 化 復 号 化 ツール 管 理 キャッシュカード 発 行 ( 発 行 機 利 用 権 限 保 持 ) 電 子 マネー 管 理 プリペイドカード 発 行 不 正 事 件 によって 浮 き 彫 りとなった 問 題 点 過 去 発 生 した 不 正 事 件 は 内 部 者 による 僅 かな 隙 間 を 利 用 し た 犯 行 という 共 通 点 があり 次 のような 問 題 点 が 浮 き 彫 りとなっ ています 1 キャッシュカードの 暗 証 番 号 が 含 まれる 重 要 データの 保 存 状 況 暗 号 化 またはマスク 処 理 状 況 に 脆 弱 な 部 分 があった ATMの 障 害 解 析 時 などにおいて 必 ずしも 必 要 ではない 暗 証 番 号 の 情 報 がマスク 処 理 されずにサーバーに 保 存 されていた 2 一 人 の 人 間 に 権 限 が 集 中 していた( 職 務 分 離 が 不 十 分 ) 再 々 委 託 先 の 部 長 級 社 員 が 重 要 データの 取 得 重 要 データを 使 用 する 解 析 作 業 テスト 用 キャッシュカードの 作 成 機 器 の 使 用 管 理 の 権 限 を 全 て 持 っていた 3 重 要 データへのアクセス 作 業 において 作 業 者 が 一 人 になる タイミングがあった 複 数 人 で 作 業 を 行 うルールについて 実 態 の 運 営 面 で 不 十 分 な 点 があった 4 重 要 データへのアクセス 記 録 のモニタリングを 実 施 していな かった 牽 制 機 能 不 十 分 発 見 の 遅 れ( 半 年 間 あるいは1 年 以 上 の 期 間 発 見 されなかった) 5 顧 客 の 要 望 になるべく 早 く 対 応 するといった 観 点 から 人 材 ローテーションを 実 施 せず 内 部 不 正 容 疑 者 は 長 年 にわた り 同 じ 業 務 を 担 当 していた 業 務 に 関 する 技 術 や 業 務 ノウハウが 特 定 の 担 当 者 に 集 中 属 人 化 してしまう 業 務 に 対 する 緊 張 感 の 喪 失 モラルの 低 下 から 不 正 事 件 を 誘 発 させてしまう 金 融 業 務 を 受 託 する 会 社 (ベンダー)はこうした 問 題 点 への 対 策 を 社 内 で 確 実 に 実 施 するとともに 金 融 機 関 ( 業 務 委 託 元 )に 対 して それら 問 題 点 の 改 善 状 況 等 を 定 期 的 に 報 告 することが 求 められます 不 正 事 件 を 踏 まえて 金 融 業 務 受 託 会 社 に 求 められる 事 項 不 正 事 件 を 踏 まえて 金 融 業 務 受 託 会 社 に 求 められる 事 項 はいく つかありますが 大 きく 物 理 的 セキュリティに 関 する 事 項 論 理 的 セキュリティに 関 する 事 項 その 他 に 関 する 事 項 の3つに 分 類 することができます (1) 物 理 的 セキュリティに 関 する 事 項 1 敷 地 建 物 ビルおよび 執 務 室 への 入 退 館 ( 室 ) 制 限 と 管 理 状 況 不 正 作 業 防 止 のために 主 に 次 のような 観 点 で 入 退 館 ( 室 ) 制 限 と 管 理 状 況 について 把 握 しておく 必 要 があります セキュリティカード 生 体 認 証 ( 指 紋 認 証 虹 彩 認 証 等 )と いった 入 退 館 ( 室 )の 仕 組 だけではなく 実 際 に 権 限 を 付 与 されている 人 はどのような 立 場 の 人 な 付 与 され ている 人 数 は 妥 当 である 不 自 然 な 入 退 館 ( 室 )がないかといった 観 点 から 入 退 館 ( 室 )ログを 定 期 的 にチェックしている 2 作 業 場 所 と 物 理 レイアウト 決 められた 場 所 以 外 での 不 正 作 業 防 止 のために 本 番 作 業 の 実 施 場 所 や 端 末 等 について 把 握 しておくことが 求 めら れます 当 該 作 業 は 専 用 の 作 業 部 屋 端 末 室 で 行 う あるい は 他 の 作 業 と 同 様 一 般 の 執 務 室 で 行 われている 具 体 的 レイアウトはどのようになっている 専 用 の 作 業 部 屋 端 末 室 で 行 っている 場 合 は さらにど のような 入 退 室 制 限 管 理 を 行 っている 3 監 視 カメラの 設 置 とモニタリング 状 況 不 正 作 業 に 対 する 牽 制 やタイムリーな 発 見 のために 主 に 次 のような 観 点 で 確 認 を 行 うことが 求 められます 作 業 を 行 う 場 所 に 対 して 死 角 がないよう 十 分 な 台 数 の 監 視 カメラが 設 置 されている 監 視 カメラの 画 像 は 一 定 期 間 保 存 しているだけでなく しかるべき 立 場 の 管 理 者 座 席 の 近 くにモニターを 設 置 し オンラインでモニタリングするような 運 営 を 行 ってい る (2) 論 理 的 セキュリティに 関 する 事 項 1 アクセスの 記 録 確 認 顧 客 の 重 要 情 報 に 対 する 不 正 アクセス 防 止 のために 主 に 次 のような 観 点 で 重 要 情 報 へのアクセス 記 録 状 況 を 把 握 し 内 容 を 確 認 することが 求 められます 顧 客 の 重 要 情 報 (キャッシュカードの 暗 証 番 号 等 )へのア クセス 記 録 を 取 得 している 内 容 確 認 を 行 うシステムを 構 築 し 運 用 するなどの 方 法 に より モニタリングしている 2 金 融 業 務 受 託 会 社 におけるセキュリティ 管 理 上 の 留 意 点

2 データ 削 除 の 具 体 的 な 実 施 方 法 特 に 顧 客 の 重 要 情 報 の 削 除 漏 れ 等 による 情 報 漏 洩 防 止 の ために 主 に 次 のような 観 点 でデータ 削 除 の 具 体 的 な 実 施 方 法 について 把 握 しておくことが 求 められます 本 番 保 守 作 業 等 の 調 査 作 業 終 了 後 は 作 業 用 エリアに 保 存 した 本 番 データを 必 ず 削 除 している 本 番 作 業 時 に 作 業 用 エリアに 保 存 した 本 番 データ 削 除 作 業 は 具 体 的 に 誰 が どのような 方 法 で 削 除 している 本 番 作 業 時 に 作 業 用 エリアに 保 存 した 本 番 データが 漏 れなく 削 除 されたことを 作 業 者 以 外 の 管 理 者 などが 適 時 に 確 認 している 3 本 番 アクセスログのモニタリング 状 況 本 番 作 業 に 便 乗 した 不 正 作 業 防 止 のために 主 に 次 のよう な 観 点 で 作 業 ログのモニタリングを 実 施 することが 求 められ ます 作 業 者 がログインした 時 点 から 完 了 時 点 までのログはど の 種 類 項 目 まで 取 得 できている ログイン ログオフ 時 刻 とIDまで 取 得 している 入 力 コマンド アクセスコマンド 等 も 取 得 している 取 得 したログは 不 正 防 止 早 期 発 見 の 観 点 から 日 次 で チェックしている 4 各 種 権 限 の 必 要 最 小 限 の 付 与 過 剰 な 権 限 付 与 による 不 正 作 業 防 止 のために 主 に 次 の 観 点 を 踏 まえて 各 種 権 限 を 付 与 することが 求 められます 外 部 委 託 先 による 顧 客 等 に 関 する 情 報 へのアクセス 権 限 について 委 託 業 務 の 内 容 に 応 じて 必 要 な 範 囲 内 に 制 限 している 外 部 委 託 先 においてアクセス 権 限 が 付 与 される 役 職 員 およびその 権 限 の 範 囲 が 特 定 されることを 確 認 している アクセス 権 限 を 付 与 された 担 当 者 以 外 が 当 該 権 限 を 使 用 すること 等 を 防 止 するため 外 部 委 託 先 において 定 期 的 または 随 時 に 利 用 状 況 の 確 認 が 行 われている 等 ア クセス 管 理 の 徹 底 が 図 られている 5 各 種 権 限 の 棚 卸 不 正 な 権 限 使 用 による 不 正 作 業 防 止 のために 定 期 的 に 各 種 権 限 の 棚 卸 を 実 施 する 必 要 があります システムから 出 力 したユーザーIDリストとユーザーID 管 理 台 帳 組 織 図 実 在 人 物 との 突 合 作 業 を 実 施 している (3) その 他 に 関 する 事 項 1 社 内 の 意 識 向 上 教 育 特 に 本 番 作 業 に 対 するマナーやモラルの 低 下 による 不 正 作 業 やミス 防 止 のために 主 に 次 のような 観 点 で 社 内 の 本 番 作 業 に 対 する 意 識 向 上 に 向 けた 取 組 を 実 施 することが 求 めら れます 単 なるルール 等 の 教 育 だけではなく 不 正 防 止 やミス 防 止 につながる 意 識 向 上 教 育 はどの 程 度 実 施 してい る 各 種 ルールを 周 知 徹 底 した 際 の 証 跡 を 残 している 従 事 者 からセキュリティ 関 連 誓 約 書 などを 徴 求 している 2 本 番 作 業 の 実 施 方 法 顧 客 の 重 要 情 報 を 使 用 するようなリスクの 高 い 作 業 に 関 する 内 容 を 把 握 しておくことが 求 められます ATM 取 引 ログを 調 査 する 作 業 は 誰 が 何 名 くらいで ど のような 方 法 で 行 っている 3 不 測 の 事 態 発 生 時 の 体 制 整 備 不 正 事 件 等 発 生 時 の 被 害 拡 大 防 止 のために 社 内 の 体 制 を 整 備 しておくことが 求 められます 外 部 委 託 先 において 漏 洩 事 件 等 が 発 生 した 場 合 に 適 切 な 対 応 がなされ 速 やかに 委 託 元 に 報 告 される 体 制 に なっている 金 融 業 務 受 託 会 社 におけるセキュリティ 管 理 上 の 留 意 点 3

4 暗 証 番 号 等 最 重 要 情 報 のデータフローに 基 づくリスク 抽 出 整 理 ( 下 図 参 照 ) 僅 かな 隙 間 からの 不 正 事 件 防 止 のために 社 内 の 最 重 要 情 報 の 所 在 やリスク 等 について 詳 細 に 整 理 把 握 しておくことが 求 めら れます ATMシステムのみでなく 不 正 出 金 や 情 報 漏 洩 等 に 係 るリスクの 大 きい 重 要 システムを 管 理 対 象 として 抽 出 整 理 のうえ 各 重 要 システムの 僅 かな 隙 間 の 再 確 認 是 正 等 内 部 者 による 不 正 の 可 能 性 を 強 く 意 識 している 暗 証 番 号 等 の 最 重 要 情 報 がどの 機 器 通 信 回 線 上 を 通 過 するデータフロー 形 式 で 整 理 している 現 在 上 記 のように 社 会 的 責 任 が 極 めて 重 い 金 融 業 務 を 受 託 する 会 社 (ベンダー)を 含 む 金 融 業 態 に 対 して より 詳 細 な 実 態 把 握 ( 見 える 化 )を 行 うとともに 問 題 のある 場 合 は 是 正 に 向 けた 積 極 的 な 取 組 が 求 められています 実 際 に 各 地 域 金 融 機 関 では 自 行 におけるシステムや 管 理 体 制 の 状 況 について 金 融 業 務 を 受 託 する 会 社 (ベンダー)も 含 め 次 のよう な 観 点 から 再 点 検 し 問 題 を 発 見 している 事 例 も 見 受 けられます 再 点 検 内 容 1 取 引 データ(ATMログ 等 )の 種 類 所 在 の 調 査 業 務 取 引 パターンの 洗 い 出 し 自 行 の 顧 客 が 自 行 ATM/ 他 行 ATM/コンビニATMを 使 用 した 場 合 ( 自 行 のキャッシュカードを 使 用 ) 他 行 の 顧 客 が 自 行 のATMを 使 用 した 場 合 ( 他 行 のキャッシュカードを 使 用 ) インターネットバンキング 等 取 引 データ 所 在 の 調 査 ホストシステム 中 継 サーバー インターネットバンキングサーバー ATM 外 部 センター その 他 子 会 社 や 外 部 委 託 先 のシステ ム 等 2 障 害 解 析 時 における 取 引 データ( 暗 証 番 号 など)の 復 号 化 場 所 解 析 場 所 の 確 認 3 取 引 データ( 暗 証 番 号 など)の 復 号 化 解 析 作 業 の 実 施 環 境 および 運 営 実 態 の 調 査 物 理 的 セキュリティ( 入 退 室 管 理 状 況 ) 論 理 アクセス 管 理 (アクセス 権 限 の 付 与 状 況 ) 作 業 実 施 体 制 ルール( 複 数 人 での 実 施 復 号 化 と 解 析 作 業 の 職 務 分 離 状 況 など) アクセス 記 録 のモニタリング 状 況 4 金 融 業 務 受 託 会 社 におけるセキュリティ 管 理 上 の 留 意 点

発 見 された 問 題 点 外 部 センター( 統 合 ATMセンター)と 接 続 する 中 継 サー バー 内 に 取 引 データの 暗 証 番 号 がそのままの 状 態 で 保 存 されていた システムが 自 動 的 に 取 得 するデータに 暗 証 番 号 がその ままの 状 態 で 保 存 されていた 特 定 の 業 務 取 引 パターンの 場 合 に 暗 証 番 号 がそのま まの 状 態 でサーバーに 保 存 されていた おわりに 冒 頭 にも 述 べた 通 り 本 稿 では 外 部 委 託 管 理 について 各 金 融 機 関 ( 業 務 委 託 元 )の 立 場 からではなく 金 融 業 務 を 受 託 する 会 社 (ベンダー)の 立 場 からみた セキュリティ 管 理 におけるポイン トについてご 紹 介 させていただきました もちろん 必 ずしも 本 稿 で 記 載 した 全 ての 事 項 を 今 すぐに 実 施 し なければいけないというわけではありません 金 融 業 務 を 受 託 する 会 社 (ベンダー)は 各 事 項 に 対 する 実 施 状 況 を 把 握 したうえ で リスクの 高 い 項 目 を 優 先 的 に 実 施 していくことで 少 しでも 自 社 におけるセキュリティ 管 理 態 勢 のレベルアップを 図 り 不 正 事 件 発 生 リスクを 低 減 していくことが 重 要 です また 当 局 からの 自 主 点 検 の 要 請 をきっかけに 外 部 委 託 先 への 立 入 検 査 直 接 監 査 など 今 後 これまで 以 上 に 顧 客 の 重 要 情 報 の 管 理 状 況 等 について 実 態 把 握 ( 見 える 化 )へ 向 けた 取 組 が 加 速 するものと 想 定 されますが 各 金 融 機 関 ( 業 務 委 託 元 )だ けでそれらを 完 全 に 把 握 することは 非 常 に 難 しいものと 思 われ ます したがって 金 融 業 務 を 受 託 する 会 社 (ベンダー)において も それらの 管 理 状 況 について 継 続 的 なモニタリングを 主 体 的 に 実 施 し 定 期 的 にその 結 果 を 業 務 委 託 元 に 報 告 していくなど して 業 務 委 託 元 と 業 務 受 託 先 が 一 体 となってセキュリティリス ク 管 理 に 取 り 組 んでいくこともこれからは 重 要 であり 必 要 と 言 えるでしょう 本 稿 に 記 載 したポイントにご 留 意 していただくことで それぞれ の 現 場 におけるセキュリティリスク 管 理 態 勢 の 高 度 化 の 一 助 に なれば 幸 いです 以 上 金 融 業 務 受 託 会 社 におけるセキュリティ 管 理 上 の 留 意 点 5

EY Assurance Tax Transactions Advisory EYについて EYは アシュアランス 税 務 トランザクションおよびアド バイザリーなどの 分 野 における 世 界 的 なリーダーです 私 たちの 深 い 洞 察 と 高 品 質 なサービスは 世 界 中 の 資 本 市 場 や 経 済 活 動 に 信 頼 をもたらします 私 たちはさまざま なステークホルダーの 期 待 に 応 えるチームを 率 いるリー ダーを 生 み 出 していきます そうすることで 構 成 員 クラ イアント そして 地 域 社 会 のために より 良 い 社 会 の 構 築 に 貢 献 します お 問 い 合 わせ 先 新 日 本 有 限 責 任 監 査 法 人 金 融 アドバイザリー 部 プリンシパル 藤 森 一 弘 Tel: 03 3503 1138 fujimori-kzhr@shinnihon.or.jp 新 日 本 有 限 責 任 監 査 法 人 金 融 アドバイザリー 部 シニアスタッフ 佐 野 佑 輔 Tel: 03 3503 1138 sano-ysk@shinnihon.or.jp EYとは アーンスト アンド ヤング グローバル リミテッドのグ ローバル ネットワークであり 単 体 もしくは 複 数 のメンバーファー ムを 指 し 各 メンバーファームは 法 的 に 独 立 した 組 織 です アーン スト アンド ヤング グローバル リミテッドは 英 国 の 保 証 有 限 責 任 会 社 であり 顧 客 サービスは 提 供 していません 詳 しくは ey.com をご 覧 ください EY FSO( 日 本 エリア)について EYフィナンシャル サービス オフィス(FSO)は 競 争 激 化 と 規 制 強 化 の 流 れの 中 で 様 々な 要 望 に 応 えることが 求 め られている 銀 行 業 証 券 業 保 険 業 アセットマネジメント などの 金 融 サービス 業 に 特 化 するため それぞれの 業 務 に 精 通 した 職 業 的 専 門 家 をグローバルに 有 しています また 各 業 界 の 規 制 動 向 を 予 測 し 潜 在 的 な 課 題 に 対 す る 見 解 を 提 示 するため 業 種 別 にグローバル ナレッジ センターを 設 け 規 制 動 向 の 収 集 や 業 界 分 析 を 行 ってい ます EY FSO( 日 本 エリア)は グローバル ネットワーク と 連 携 して 金 融 サービス 業 に 精 通 した 職 業 的 専 門 家 が 一 貫 して 高 品 質 なサービスを 提 供 しています 2014 Ernst & Young ShinNihon LLC. All Rights Reserved. 本 書 は 一 般 的 な 参 考 情 報 の 提 供 のみを 目 的 に 作 成 されており 会 計 税 務 及 びその 他 の 専 門 的 なアドバイスを 行 うものではありません 新 日 本 有 限 責 任 監 査 法 人 及 び 他 のEYメンバーファームは 皆 様 が 本 書 を 利 用 したことによ り 被 ったいかなる 損 害 についても 一 切 の 責 任 を 負 いません 具 体 的 なアド バイスが 必 要 な 場 合 は 個 別 に 専 門 家 にご 相 談 ください ED None