貸金庫運用のセキュリティ改善について考えた話
1.はじめに🏦
先日、某メガバンクが管理している貸金庫で億単位の盗難事件がありました。
犯人への裁きは司法に任せるとして、今回の事件についてシステム的観点から是正策はないか素人なりに考えてみました。
2.事件の手口について🦹♀️
手口についてテレビ等で報道されているもの以上の情報は持ち合わせておりません。現時点(2025/1/15時点)の情報を簡単にまとめると以下になります。
銀行は顧客が紛失するリスクを考え、スペアキーを管理、所持していた
犯人はスペアキーを管理する副支店長権限を持っていた
スペアキーは割印つきの封筒で密封し保管
割印つきの封筒は巧妙に貼り付け直しをし、スペアキーの持ち出しを隠蔽
紛失(盗難)が明るみになると補償を補填するために別顧客の金品を換金していた(補填に次ぐ補填で貸金庫60個以上の被害)
紛失対応は責任者として犯人が対応していた
3.何が問題だったのか🤔
最大の問題は管理責任の権限を持つものが過ちを犯すことを予見できなかったことにつきます。
嘆かわしいことですが、責任ある者が本来持たなければならない「矜持(誇り)」による性善説がセキュリティの穴だったことは否めません。
4.改善案について🧰
事件を未然に防ぐ方法について改善案を考えると、以下になります。
貸金庫の開閉の際にログが残るようにする
貸金庫室に入った人間の入退室管理ログをとる(顧客はゲストカードによる入室)
貸金庫の開閉があった旨をメールで顧客にお知らせする
貸金庫開閉ログと入退室管理ログから本人が開けたかセキュリティ管理部門が行う
改善案1:貸金庫の開閉の際にログが残るようにする
そもそも貸金庫の開閉を察知できれば良く、悪意のあるものが開閉時のログを取得できないようにオフラインにしたことも検知することは技術的に可能です。また、貸金庫室は携帯電話などの一般的な無線通信ができないようにするべきです。(閉じ込められる事故を防ぐため室内にインターホンを要する)
改善案2:貸金庫室に入った人間の入退室管理ログをとる(顧客はゲストカードによる入室)
貸金庫室の無断侵入は物理的に不可能に近いです。入退室のログを取り、顧客本人の足跡を残せば、貸金庫開閉ログとの整合性がチェックできます。
改善案3:貸金庫の開閉があった旨をメールで報せる
貸金庫開閉日時をメールで受け取れるようにすれば、自分以外の人間が開閉したことに気が付きやすくなります。
改善案4:ログチェックはセキュリティ管理部門が行う
改善案1と2にあるログ確認を貸金庫の置いてある支店の人間ではなく、セキュリティまたは情報管理部門が機械的にチェックをする体制にするべきです。
ここでいう機械的とは、
ゲストカード発行➡️貸金庫室入室貸金庫開く➡️貸金庫閉じる➡️貸金庫退室➡️ゲストカード返却(ゲスト本人がカード返却したか)
までを時系列順に並べて不自然ないか(各ログの時間間隔の長短なども含む)をチェックすることです。
5.最後に🔚
以上が私なりに考えた貸金庫の運用におけるセキュリティの改善案です。
システム的に複雑ではなく、運用を少し工夫すればよいので現実的な考察になったと思います。
システム(運用、機械どちらも含む)の改善とはエラー(被害)を未然に防ぐことにあります。被害者を出さないシステム構築は、社会通念上終わりなき「プロジェクト」なのかもしれません。
それでは、またの機会に。
【2025/01/24追記】この記事を掘り下げた有料版を作成しました。
宜しければ参照ください。