最高管理者であろうとガラス張りにさせる

あたりまえのことをやらなかったから発生した事件は後を絶ちません。
センセーショナルなニュースとして報道された、セキュリティ管理者によるカード偽造事件があります。仙台銀行のシステム運用を管理する責任者が不正に情報を引き出して、約3100万円を着服したといういう事件です。
●アクセス証跡チェックをシステム化してガードする
　端末利用履歴やデータアクセスリストはシステムチェックするのが定石。
●最低でも３人がチェックをする
　そのリストは、メンバーによるチェック－役職者による再鑑－責任者による検閲と、最低でも３人がかむのが常識。
●管理者にすべての最高権限を持たせるのは正しい選択ではない
　管理者は正しく運用されることに対する責任を果たすものであり、操作や閲覧に対する権限を付与するものではない。
　真に重要なデータにアクセスするには、２つのパスワードを設定する。それぞれ違う部門の責任者が管理して、
　２つ入れなければアクセスできないようにする。
一人では重要なデータに直接アクセスをさせないこと、最高管理者であろうとガラス張りにさせること、これが当たり前かもしれませんがもっとも重要なガードになるのではないでしょうか。
■NTTデータ偽造カード事件で懸念される規制強化

不正に持ち出した取引記録の個人情報からローンカードを偽造して現金を引き出した疑いで，2006年3月29日，NTTデータの元社員が警察に逮捕された。事件の推移については，下記の各ページに掲載されている。
この人物はNTTデータの協力会社が派遣した要員であり，NTTデータが仙台銀行から運用を受託したコンピュータ・システムの運用責任者を務めていた。今回の事件が，この人物の雇用主である派遣元企業だけの責任で片付けられないのは，発注した企業側や業界全体のコンプライアンス体制，さらに行政の責任まで問題が及ぶ点にある。