SCSKの元社員が顧客企業である松井証券の証券口座から2億円を不正に出金・着服したとして、3月24日、電子計算機使用詐欺罪などの容疑で逮捕された。情報サービス業界にとって大きな衝撃だ。元社員は2002年4月に日本フィッツ(現SCSK)に入社し、19年にわたって松井証券のシステムを担当してきた熟練エンジニアで、「勤務態度も問題なく」(SCSKの工藤敏晃・常務執行役員金融システム事業部門長)、松井証券からの信頼も厚かった。しかし、17年6月頃から不正に入手した松井証券ユーザーのID・パスワードを使ってユーザーの株式を勝手に売却し、現金を手にしていたという。

不祥事について詫びる谷原徹社長(左)と福永哲弥専務

 ユーザーデータの入手経路は、松井証券の基幹システムのバックアップファイルを、本来転送してはならないSCSKの開発環境のシステムへ転送し、そこから顧客情報を抜き取ったものと見られている。約210人分の顧客情報を抽出し、うち実際に被害に遭ったのは15人だとされる。

 松井証券の基幹システムのバックアップは、運用を受託しているSCSK側の通常の業務として松井証券のシステム担当者の了承を得て定期的に行っている。本番システムに何らかの障害が発生したときにSCSK側からリモートでログを参照するなどの保守作業を行うため、本番環境とSCSK側の開発環境はネットワークで結ばれており、「このネットワークを悪用するかたちでバックアップを不正に転送した」(本件調査チームを担当したSCSKの福永哲弥取締役専務)という。

 SCSKや松井証券が調査を進めたところ、不正を見つけられたはずのポイントがいくつかあったという。まず、ネットワーク監視の適切な体制・仕組みがあれば、バックアップファイルがSCSK側の開発環境に転送された際に発見できた可能性があり、たとえリアルタイムで見つけられなくてもログから異常を検知することができたとしている。さらに、バックアップファイルから抽出しユーザー情報を電子メールでエンジニア個人の私用メールアドレス宛に送った際も、不正なメール送信を防止する仕組みをすり抜けており、詳細を検証すべき課題として挙げている。
 

 SCSKの谷原徹社長は再発防止策として、「適切なジョブローテーション(異動)や、常に最新の技術を駆使した多重的なチェック体制を強化する」との方針を発表した。個人情報に触れる可能性がある業務については、顧客からいかに信用が厚いエンジニアだとしても定期的な異動を行うことで、不正の温床を排除するという意図だ。同時に、ログの分析能力の向上や、分析結果を複数人でチェックする仕組みの徹底、ログ監視そのものの高度化なども再発防止につながる施策として取り組みを進める。(安藤章司)