http://b.hatena.ne.jp/entry/itpro.nikkeibp.co.jp/article/NEWS/20121127/440222/

• id:pratto NTT-Dの委託先なのだから、NTT-Dだって被害者たりえるのに、その委託先の社名が出てこないとか、つまり委託先は身内。NTT-Dのグループ会社なんだろうな旧CIの下の方の粒粒の会社なんだろうな。

• id:ysync 法や契約で縛ったところで、多重下請け構造の末端や派遣だと（法を犯しても）失うものが少ない人が関わる可能性が上がるからな。／終身雇用という家族や未来を人質にする手法を捨てたらこうなる。

• id:houyhnhm 内からやられたら、脆いからね。／二次委託でも触れるように契約上してはあると思いますけど。特に運用はバカにトラブル調査無理なので。／メモリダンプ出来れば大概抜けちゃうので対策になってないと思うんだよね。

http://b.hatena.ne.jp/entry/www.nikkei.com/article/DGXNASDD270ON_Y2A121C1000001/

• id:nekora 何故か報道されない委託先社名

• id:omi_k 金にさわる仕事じゃさあ、モラルはさあ、金で買えるんだよ、つか金で買うしかないんだよ実際のところ
• id:joker1007 これで、また無駄な承認フローが増えて作業立ち会いに人が割かれて、資料作りに勢が出ますね。まあ、中で働いてたら不思議でも何でもないというか、ギリギリの良識によって成り立っているからなあ。
• id:ysync ↓本社正社員は家族と未来（退職金、企業年金、住宅ローン他）を人質にとってるからね。リスクとリターンが末端とは大きく違う。
• id:satohu20xx 教育とか下請けとかじゃなくてその人が悪いだけでは。んで、重要な場所で働いててもそれ相応のお金を払わないとやっちゃう人が出るだろうなぁ。
• id:sasashin q「再発防止に向けて、全社をあげて取り組んでまいります」ならまず下請けを安く買い叩くことをやめればいいんじゃね。金を扱う人間の待遇が悪いと色々起きやすくなるのでは（ソースなし）。
• id:kakei "高度で専門的な知識"…えっ？/金融系システムのセキュリティはSEの良心で守られてる部分が多々ある気がします。

• id:tnakamura 銀行員になるには身元がしっかりしてないとなれないが、多重下請なので銀行システムの開発者の身元のチェックや監視は全然行なっていない
• id:stealthinu 大手SIの下請け孫請け丸投げ体制がこの事件を起こしたとも言えるな。土建屋のロジックをそのままシステム開発に持ち込んでるんだもんね。そこが改善されない限り日本のSI業なんて復活しないだろ。

• id:seiunsky セキュリティについて教育できたって、犯罪するき満々の人を防ぐの難しそう

• id:ledsun 孫請けということは、銀行はお客さんのお客さんのお客さん。モラルや忠誠心は期待できない。それで携帯持ち込み禁止、USBメモリ持ち込み禁止とかってルールになるわけだけど・・・。

• id:suginoy こういう事件あると、この孫請け社員が充実した仕事ができてたら犯行に及んだだろうかと考える

スキルや貢献度と，待遇が比例してないのが根本原因だよなと．

IT業界だと首切り／派遣切り／雇い止めやらパワハラやら多重下請け／偽装請負やらが日常茶飯事なので，自社に対する愛社精神や忠誠心はおろか帰属意識さえない人は多いと思う．ましてや親会社の親会社の顧客なんて，顔もろくに見たこと無いですね．下手すると一度も会ったことなかったりします．

• id:TakamoriTarou 多重下請け構造は問題だけどそれが原因じゃ無いでしょ。社員だったら倫理観が高いから事件は発生しなかったとでも言うのか？　それとも犯行に及ばせる劣悪な環境を強いていたとか？ id:ysync 犯人も孫請けの正社員では

なにをいまさら．劣悪な環境はIT業界の常識です．*14

• id:twisted0517 そりゃあんな値段で買い叩いてりゃコンプライアンスのしっかりした業者なんて使えねーわな、とか。
• id:sometimeshappy 下請け社員の管理なんて丸投げが基本だもんなぁ。せいぜいこういうのはいけません守りまショー的なA4ペラ1渡してなんかあったらオタクのせいだからねとしかならないと思うよ。観測範囲が異業種ではあるけど。

• id:raitu 「そもそも孫請け会社の技術者がなぜ、重要システムに精通しているのか」NTTデータ内に精通している人がいないから。彼らから見たらこの程度の事でも「高度で専門的な知識」なんだろう。奴隷商人は恨まれるというお話

• id:ya--mada あいつら仕事してないし。って思ってしまうのは被害者意識でしょうか？

• id:yogasa 容疑者が所属してた会社でもなく，銀行でもなくNTTDだけが責められてるようなのがよくわからん．どこにも責任ありそうだが

元請けは，品質やセキュリティをきっちり管理するという信頼のもとで仕事を受注してるんです．だからセキュリティを維持する責任は元請けにある．*15それができないなら大幅に値引きするか，そもそも廃業しろって話です．

でも実際は設計も開発も品質管理も運用も全部下請けに丸投げというのがまかり通っている．それでいて下請け孫請け技術者は安く買い叩く．それでも「我々がきちんと品質管理してます（キリッ）」とか主張してきたけれど、実際に管理運営してるのはワーキングプアの現場技術者．こういう事件は「元請け社員でも起きる時は起きる」けど、「起きるべくして起きた」とは随分印象が違うよね．

• id:robeht 丸投げ体質企業なのと今回の事件は別問題だね。
• id:milanista 下請け構造は問題あるけど、この事件には関係ないやろ。
• id:mu_hal モラルの有無に下請け元請け孫請けは関係ないと思うけどなぁ…やる人はやるし。あと業務知識を元にDBからデータ抜いたのを「不正アクセス」と呼ぶのは、何か違う気がする。
• id:ssig33 悪意あってやってんだから NTT データが下請けに依存しないってなれば NTT データに入社しておなじことやるんじゃないの
• id:m_sakunyan 下請けだからとか関係ないじゃん・・。
• id:georgew 基本的に元請け正社員か下請けであるかは関係ないように思う。
• id:barelo 別にデータの社員だからって同種の犯罪に手を染めないとは限らんだろう。身分差別的で嫌な論調だ。
• id:ProjectK でもこれって下請け孫請け依存構造だから起こったものなのかな？経緯をみる限り悪意を持っていれば自社の社員でも起こしうるものにしか見えないけど。

といわけで，関係なくはない．普通は身分差別はあるし，待遇が全く違うから．

モラルや忠誠心ってのは自然発生するものではなく，金で買うものなんですよ．

そういう意味で丸投げ体質でなければ起きなかった事件という可能性は高い．少なくとも元請けは，その責任を果たしていなかった．だから責められるのは当然．

• id:unaken みかかの優秀な社員は、下請けが作った仕様書や設計書の文章の「てにをは」や「句読点」の添削に忙しいからね。疎かになるんだろ。

．．．これが，冗談じゃすまないんだよなあ．
http://el.jibun.atmarkit.co.jp/pressenter/2012/03/8-4118.html

• id:asyst キャシュカードの番号をド忘れした際に銀行窓口で変更してもらおうとしたら担当者が普通に暗証番号情報にアクセス出来たので驚いたが、運用上の問題で平文なんだろうと思った。
• id:qwtnk 平文でもハッシュでも生成方法が分かってれば4桁とか意味をなさないよね
• id:xlc 暗証番号なんて4桁しかないんだから、バックヤードからつなげればセキュリティなどそもそもない。そのために高給与というセキュリティシステムがあるはずだったのに。

暗号化しようとどうしようと，4桁の整数なのでブルートフォースで解けちゃいます．*16

問題なのは閲覧の可否ではなく，それを使って不正に預金の引き出しが行われ，しかもそれが検出できなかったこと．もし不正引き出しがあってもそれを全て検出できれば犯人を逮捕して，被害者には預金を戻せばそんなに深刻な被害にはならなかった．

今回のはどれだけ被害が出たか全貌さえ掴めてないので，不正に引き出されたのに損害を補填してもらえず泣き寝入りする被害者も出るのではないか．それどころか自分が被害者であることにさえ気付かないかも．．．

• id:morita_non 切り捨てられた一円未満の他人の口座の利息を自分の口座にごんごん振り込むプログラムを潜り込ませたスーパーハカーが再び現れたのかと思ったら違った。NTTデータの信用？

• id:lll_nat_lll 偽造カードを作製したのくだり、社内でテスト用にカードを作れるのかな。発行から廃棄まで管理してそうなものだけど。「高度で専門的な知識を使って〜」の部分も、同様に管理されてなかっただけなんじゃないのかな

• id:hirolog634 エンジニアならば誰もが「高度で専門的な知識」などなくてもできてしまうと思うはず。こうした事件が起きると、いきなり犯人はスーパーハッカーになる。
• id:mizchi いい言葉だ… 「システムにある脆弱な部分があり、そこを狙い、高度で専門的な知識を使ってアクセスした」
• id:TakayukiN627 システムにある脆弱な部分があり、そこを狙い、高度で専門的な知識を使ってアクセスした｜これは嘘だと思う。
• id:kiron00 高度な云々と書いてあるけど、経緯を見るに単に業務知識を利用した不正横領じゃね。
• id:K-yamada 「そこを狙い、高度で専門的な知識を使ってアクセスした」これは嘘だな

たぶんそうだと思う．
仮に本当にそうだとしたら「待遇はもっと上げても良かったんじゃないか」みたいな話が出てきてしかるべき．

どうせ出ないんだけど．

twitter

「海外で食べて行けるエンジニア、食べられないエンジニア」

http://wirelesswire.jp/london_wave/201212030558.html
タイムリーなネタだったのでメモ．

簡単に言うと、外でも食べて行ける人は「自分で手を動かして何かできる人」です。

コーディングできる、設計できる、管理の仕組みを考えられる、コストカットした機材の調達の仕組みを考えられる、人員管理がうまい、プロジェクト管理できる、監査の仕組みやドキュメントを作れる、戦略を作って実行できる、という様な「自分で何かができる」人です。

反対に、「これは食べて行けない」という典型例。それは、日本国内の大手ベンダやユーザー企業勤務で、下請けや孫請けへの「丸投げ」しかできない「エンジニアもどき」や「SEというなんだか良くわからない仕事をやっている人」「仕事が部長や課長」という人々です。

日本では、残念ながら、通信もITも業界の仕組みは「ゼネコン体質」です。大手がコネやら知名度で仕事を取って来て、それを、下請けや孫請け、そのまた下請けに安い値段で丸投げして、利ざやを抜いて儲けるって奴です。

偉いのはお客、丸投げは当たり前だから、お客様側の「気持ち」を汲み取って、なんとか仕事をしなければいけないのは下請けの方です。これを長年やっているので、お客側は、要件定義をきちんと書いたり、妥当なスケジューリングで下請けに仕事を出したり、ということができません。

要するに、お客として「絶対にやらなければならないこと」ができないのです。

「「不正取得は1068口座、センター内で偽造」、NTTデータがカード不正利用の経緯を説明 」

http://itpro.nikkeibp.co.jp/article/NEWS/20130117/450281/
http://www.nttdata.com/jp/ja/news/release/2013/011700.html
http://www.atmarkit.co.jp/ait/articles/1301/17/news124.html
追記

説明を聞いて、記者が注目した点は3つある。

　1つ目は、NTTデータが長期にわたって容疑者の不正を見抜けなかった点である。説明によれば、容疑者が不正取得した日は2012年6月2日、9月10日、10月1日の3回で、これ以外にはないことを確認したという。NTTデータが警察当局からの問い合わせによって不正を認知したのは同年11月20日なので、半年近く不正は発覚しなかったことになる。

　これについて、池野氏は「容疑者は担当者相互の監視が十分でないタイミングを利用して不正を行っていた」と説明した。センターでは、重要な操作をする際には、必ず複数人が同時に端末に向かって操作をする運用をしていた。

　ところが、操作結果を出力した帳票を取りに行くために端末を離れる場合など、単独操作が可能になってしまう“隙”が存在した。NTTデータは再発防止策として、端末の前には必ず2人がいなければ操作自体をできないようにロックする措置を講じたという

2つ目は、容疑者が「システム基本情報」という特殊なデータを不正取得した点である。地銀共同センター内の取引情報は原則として暗号化・マスキング処理が行われていて、容易に閲覧できない。暗証番号なら「＊＊＊＊」と見える仕組みになっている。ところが、この「システム基本情報」だけは例外で、マスキングされていない情報を取得することができた。

　「システム基本情報」とは、システム故障時などの調査・復旧作業に必要となる取引情報を指す。NTTデータは再発防止策として「システム基本情報」へのアクセス制限を強化した。

　ただし、「システム基本情報」という“例外”自体を無くすことは不可能だという。池野氏は「現在運用中の情報システムであり、根本的な作りを変えることはできない。もしゼロベースからシステムを設計するとすれば、違う考え方もあり得るかもしれない」と話した。

　3つ目は、容疑者がセンター内でキャッシュカードを偽造していたとみられることである。地銀共同センター内には、テスト用の特殊なATMが数台設置されており、そのうち1台にはキャッシュカードを作成する機能が備わっている。

　カード偽造の経緯についてはNTTデータ自身も調査しきれていないという。「運用上、容疑者単独ではカード作成の操作はできないはずで、なぜ偽造できたのかが判明していない」（池野氏）。カード作成用のATM自体は情報システム開発・保守のために必要不可欠で、撤去する予定はないようだ。

　対策に甘さがあったことを認めつつ、NTTデータの木村氏は「あらゆる不正のシナリオを考えながら対策を考えているが、いくら対策をしてもそれをかいくぐられる可能性はある」と率直に話した。NTTデータは当局の捜査が一段落した時点で、関係者を厳正に処分する方針である。

さんざん「高度な技術を用いて盗み出した」とか言ってたと思うんだけど，高度な技術についてはノータッチ？

それと，なんでNTTデータが自社の社員だけでメンテしなかったのかとか，孫請け社員の企業名及び年収については闇の中って感じだなあ．

やっぱり大方の予想通りということなんだろうか．

さらに3月末までをめどに、NTTデータグループ全体でシステム点検を実施するとともに、重要情報に対するアクセス管理の強化、不正アクセスの早期検知といった観点でセキュリティ強化を図る。「NTTデータ社内の有識者を集め、『どういった不正なシナリオが考えられるか』を検討し、それに基づいてガードしていく」（同社 パブリック＆フィナンシャルカンパニー事業推進部長 木村千彫氏）。さらに、技術の進歩にともなっていずれ脆弱な個所が生じてくるという視点に立って、再発予防策を講じていきたいとした。

業務委託先に対しては、これまでも、契約条文に盛り込んだ機密情報の扱いを順守するよう求めるほか、年に2回の頻度で情報漏えい防止に関するセルフチェックを行うなど、漏えい抑止に取り組んでいたというが、「それだけでは足りない。再発防止策の中でさらなる強化を図っていく」（池野氏）という。

http://b.hatena.ne.jp/entry/www.atmarkit.co.jp/ait/articles/1301/17/news124.html

なんでNTTデータは自分達でやると言わないんだろうね．

それと，孫請け社員の年収は一体いくらだったのさ．