金融系SEの暮し生活力＆仕事力up術: アプリケーションエンジニア論文下書きセキュリティ編

金融系SEの暮し生活力＆仕事力up術
 « アプリケーションエンジニア試験とは ← → プロジェクトマネージャとアプリケーションエンジニアの違いは？ »

アプリケーションエンジニア論文下書きセキュリティ編

注）試験用の準備論文なので多少フィクションもまじってます。

設問タイトル【セキュリティ対策について述べよ】

＜設問ア　システム開発案件等の概要＞
私は会員数３００万人のクレジットカード会社のシス
テム開発保守を担当する中堅SI企業のアプリケーショ
ンエンジニアである。

顧客から当社から延滞情報の流出について問い合わせ
があった為、調査した所、延滞情報が5万人分漏洩して
いることがわかった。

漏洩対象データにアクセス人物を特定しようと調査を
したが、個人を特定出来るアクセスログがなかった為
捜査が難航し、最終的に情報漏洩発生源のフロア全て
のパソコンのハードディスクをスキャンして解析した。
結果、すでに帰任した協力会社員が使用していたパソ
コンから問題のデータが持ち出され情報が漏洩してい
たことがわかった。

今回の事件での被害は会社の信用が失墜し、損害賠償
が発生したことはもちろん、犯人がいた協力会社との
取引を停止した為、犯人以外で業務経験豊富なメンバー
も撤退させることになってしまい引継作業が大量発生
した。

事件に対する調査工数も増加した為、本来の開発業務
にも大きく支障をきたし開発現場は混乱した。

今後このような事件の再発を防止する為、現状の開発
体制を根本的に見直すことにし、その為のシステム設
計及びそれに伴うアプリケーション開発を行った。

対応は大きくわけて
・1.本番データへのアクセス制限
・2.開発作業用端末への対応
・3.テストデータへの対応
・4.作業者の管理
・5.セキュリティー教育
である。

＜設問イ　設問タイトルに関する活動内容と工夫点＞
●1.本番データへのアクセス制限
入室ログを保存出来る指紋認証のついた鍵と監視カメ
ラがついたセキュリティルームを設置する。

本番データアクセス権限者を制限し、権限がある人の
指紋を登録し、指紋登録された人のみセキュリティル
ームへの入室を可能とする。

セキュリティルーム内の端末は本番環境にのみアクセ
ス出来、インターネット及び社内LANには接続出来ず、
FD・CD-R・USBなどからの外部書き出しも出来ないよう
設定する。

本番検証や顧客からの本番データに対する問い合わせ
の時のみ新設するアクセス承認システムを用いて課長・
部長・顧客の承認を得て運用部門からワンタイムパス
ワードとIDを発行しセキュリティルーム入室及び本番
アクセス端末の起動が出来るようにする。

ただし、夜間の緊急障害時で顧客との連絡が取れず、
顧客承認が降りない場合は事後承認でパスワードを発
行するが、翌朝には必ず顧客承認を取るようにする。

検証等の為に出力した紙媒体は採番を行いセキュリテ
ィルーム外への持ち出しは禁止である。作業終了後は
シュレッダか焼却処分を行い、処分確認を本番アクセ
ス承認者にしてもらい作業終了とする。

この改修により、本番データにアクセスする人物を制
限かつ特定し、データの処分までを明確に出来るよう
にした。

●2.開発作業用端末への対応
インターネットへの接続、FD・CD-R・USBなどの外部
書き出しを使える端末を制限し、開発作業を行う端末
は社内LANのみアクセス可能とする。

全てのパソコンには端末ごとにUSB型のキーを配布し、
USBキーとパスワードがないとパソコンを起動できな
いようにした。USBキーは作業担当者に配布し、人事
異動・帰任・退職など当該システムから離れる場合は
改修する。

この改修により、開発作業担当者による不用意な社外
アクセス、データの持ち出し、仕事の持ち帰りを制限
する。

●3.テストデータへの対応
開発時のテストデータは本番データを元に個人が特定
出来る情報（会員番号、個人名、生年月日、住所、電
話番号など）を個人情報秘文化アプリケーションを使
い個人が判別出来ない状態にしてサーバに保存する。
開発者はそのデータを開発端末にダウンロードしてし
てテストを行う。

この改修により個人情報は特定できないが精度の高い
テストを行えるようにし、不必要な本番アクセスを防
ぐ。

●4.作業者の管理
今まで協力会社員だけ社内に残し、開発作業を任せて
いる時があったが、必ずプロパー社員がいる時に作業
を行うようにした。

定時外で作業を行う必要がある人員には必ず残業申請、
休日出勤申請をだし、承認が得られた作業のみ許可す
るようになった。

この改修により管理されいていない作業時に発生する
情報漏洩に対する抑止力とする。

●5.セキュリティ教育の強化
協力会社も含む作業担当者に対し、3ヶ月に1度セキュ
リティ教育・テストを行うようにする。
セキュリティ教育にはイントラネットを使用したweb
ラーニングシステムを使用し、教育受講と、テストの
成績を管理する。テストでは合格点に到達するまで受
講終了としないように設定する。

さらに協力会社はプライバシーに関する認定資格を保
有した企業とのみ取引を行うようにした。

この改修によりセキュリティ意識が高い人材で開発を
行うようにした。

＜設問ウ　設問イの活動の評価と今後の改善点＞
●活動の評価
新セキュリティシステムの導入当初は、開発手順の増
加に伴う工数が増加し、開発担当者から不満の声が聞
こえたが、教育の成果や作業に対する慣れに伴い工数、
不満ともに縮小しつつある。

今回の改修では残業や休日出勤に対する管理を厳しく
し、外部へのデータ持ち出しを禁止し、自宅への仕事
の持ち帰りを出来なくしたため、各作業者の勤務時間
中の集中度が上がり、モチベーションも向上し、メリ
ハリのある仕事が行えるようになり職場環境・作業者
の健康状態が向上した。モチベーションの低下はモラ
ルの低下につながり、ひいては情報漏洩発生の原因に
もなりえるので、この点が改善されたことは評価され
ている。

●今後の改善点
現時点では本番検証の為に開発担当者が本番データを
見て検証を行っている。セキュリティ上、開発担当者
が本番データを見ることが出来るということは危険な
ため、今後は顧客に理解を求め、本番検証に顧客が積
極的に参加してもらえるよう調整をおこない、最終的
には実際の開発担当者は本番データに接触出来ないよ
うにする予定である。

♪-------------------------------------------
メルマガにはオマケもついてます♪
兼業主婦SEの生活＆仕事力up術
(マガジンID：0000149047)
バックナンバー
メールマガジン登録 Powered by

この記事へのコメント

サイン・インを確認しました、さん。コメントしてください。 (サイン・アウト)

(いままで、ここでコメントしたとがないときは、コメントを表示する前にこのウェブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)