下請けと内部犯行

NTTデータの地銀共同システムで発生した委託先社員の不正事件が大きなニュースになっています。

ＮＴＴデータ委託社員の不正事件、下請け依存に重いツケ：日本経済新聞

システム改変直後は正常に作動するかを監視するため、開発技術者が運用の現場に立ち会うのだ。
宮口容疑者は自ら担当するシステム改変のさい、普段は入れないシステムの「運用ゾーン」に許可を得て入室。10～20人が作業するなか、堂々とシステムに不正アクセスし、他人の口座番号、暗証番号を盗み取った。そのデータをキャッシュカードに入力し、偽造カードを作製したのだ。

そういえば去年のソフトバンクモバイルの通信障害も委託先社員による内部犯行でした。

僕も昔、ある決済の部分の開発とかやりましたが、そのときの運用環境に全く隙がなかったかと言えばそうでもなかったことを思い出します。例えばリリースやトラブルの際にデータが見たいとリクエストすれば、周りは当然処理内容のチェックをするのだろうと解釈してくれるため、大抵の場合、必要以上のデータをもらえていました。ただ、それは運用する側は僕にどんなデータが必要で、どんなデータが必要以上なのかのフィルタリングができないことの裏返しみたいなものです。ですから、データの範囲を制限すると仕事の効率が確実に下がるというのも事実です。

真に恐れるべきは有能な敵ではなく 無能な味方というわけで、こういう明確な悪意をもった内部犯行にNTTデータが今後どのように対応していくのかとても興味があります。

† 参考

　・キャッシュカードの取引情報の不正取得について | NTTデータ
　・ニュース - 委託社員の逮捕についてNTTデータが経緯を説明：ITpro