複数の認証機関がそれぞれ複数の適用範囲を設定して審査を続けている。ISMSではこれは大問題。 NTTドコモと言ってもグループ全体で統一的に認証取得をしている訳でないし、もしかすると抜け漏れの組織があるかも知れない。初回取得から既に10年以上も経過しているのに枠組みの変更見直しはされていない。ISMSに取り組み始めた初期の頃なら試行錯誤もあっただろうから止むを得ないが、そこに安住しているだけの只の審査サービス事業なら、社会的責任を十分果たしている審査機関と言えない。
NTTドコモの体質:
商品は最先端でも企業体質が超古い困った企業。
銀行と同じで、改善プロセスが回り難い体質なのだ。
NTTドコモのISMS審査:
審査員が不適切を1つでも指摘しようものなら担当者の評価に響くというので審査所見は観察事項とグッドポイントで埋め尽くされる。指摘は仮に有っても軽微なもので即日対応済みというレベル。だよね。
ドコモの審査はJQAとBSIジャパンで取り合っている(分け合っている?)、このどちらの審査機関も、指摘しない(不適合なし)、指摘しても軽微のみ。多くは観察事項で、もっと多いのはグッドポイント。褒め殺しならまだいいが、ヨイショだったら悲惨。
1年前の事故(事件)について、どのような特別審査/臨時審査が行われたか 、この場合はJIPDEC⇒ISMS-ACで良いだろうが、説明責任を果たすべきだろう。
適用範囲が拡大されず、ばらばらで審査の有効性を 低いまま放置している審査機関の姿勢にも問題がある。
もし、今回の一連の事件の言い訳に「適用範囲外でした」と言うのが来たら、即時退場でしょう。外部リスクへの対応として検討されなければいけない。今回の事件はNTTドコモ全体が世間の非難を受けている事実を無視する訳にはいかないでしょう。
NTTドコモの一連の担当者~関係者が大馬鹿野郎と思う被害者の気持ちはもっともだが、お金(このお金は毎月の電話代の成れの果て)を貰って審査している審査機関の連中の目や耳が節穴だったら損害賠償ものではないか。
JIPDEC⇒ISMS-ACは当該審査機関に対する立ち入り審査をすべきだが、JIPDEC⇒ISMS-AC自身が寄り合い所帯で厳しさに欠けている。今回は世間の目のもある。油断すると国会で追及されかねない。大特急で、やるべきことをしっかりやっておかないと 不味いことになるのは自明。
NTTドコモは馴れ合いで形式化してしまった審査機関を変更してもっと真面目な姿勢のところを選択すべき。担当者を変えるだけでは駄目だろう。
※
https://mainichi.jp/articles/20200909/k00/00m/040/258000c
「ドコモ口座」不正引き出し、昨年5月にも りそな銀で同じ手口 教訓生かされず?
毎日新聞2020年9月9日 20時37分(最終更新 9月9日 22時28分)
「ドコモ口座」を紹介するNTTドコモのホームページ
NTTドコモの電子マネー決済サービス「ドコモ口座」で提携する銀行口座から不正に預金が引き出された問題で、2019年5月にも同様の不正被害があったことが9日、明らかになった。ドコモはその後も本人確認を厳格化する対応をとっていなかった。今回の問題では本人確認の甘さが指摘されており、過去の教訓が生かされなかった可能性がある。
ドコモなどによると、19年5月、提携を開始したりそな銀行の口座からドコモ口座に不正な入金が確認された。何者かが預金者になりすまし、銀行の口座番号や暗証番号を使って銀行口座から預金を引き出したとみられ、今回の問題と同じ手口だった。多額の被害が出たのを受けて、ドコモとりそなは同月中に銀行口座の新規登録を停止した。
ドコモは、対策として銀行口座から1カ月の間に入金できる金額の上限を引き下げた。だが、本人確認を厳格化する対応はとらなかった。ドコモ口座を巡る問題では、口座を開設する際や銀行口座をひも付ける際の本人確認の甘さが指摘されており、当時もこうした不備を突かれた可能性がある。当時の対応についてドコモは、「銀行と協力をして改善を図った」(広報部)とコメントしている。
今回の問題では、不正な引き出しの被害は地銀など少なくとも10行に拡大。ドコモは10日から、提携する35行全ての口座の新規登録を停止する。今後は2段階認証の導入など本人確認作業も強化する方針で、「銀行と協力の上、さらなるセキュリティーの強化に努めたい」(同)としている。【本橋敦子】
/
※
@2020/09/11
りそな銀行の対応
りそな銀行はこのトラブル(詐欺事件)の対策としてあっさりドコモ連携を止めてしまった。ドコモ側の対応をイージー過ぎると見てか、基本的なスキームに疑問を抱いたのかは分からないが結果的には正しい選択をした。
ドコモの対応
1日か1か月かの利用額に上限値30万円を設定したとのことだ。このリスクをドコモのトップは受容したのだろうか。そもそもリスク算定はどのようにやったのか。
確かに、一人当たりの被害は最大30万円。2口座の人は60万円で収まっている。総額も2000万円に届かないレベルだ。その程度の金額は大したことないとしたのかな。
今現在、ドコモの経営陣がカメラの前で頭を下げているし、被害を受けた人たちへの損害額の弁償を表明しているが、失った信頼も含めて、それらは全て織り込み済みだったのか。
審査機関の問題
審査機関にいる審査員は玉石混合で様々だけど、実経験の少ないまま審査員になった人は当然として、実務経験の豊富な 人でも、最近のネットワークセキュリティなどに対する理解は不十分で適切な審査が出来ていない。文書類の形式的な審査でお茶を濁す輩も少なくない。
審査機関が審査員を割り当てるのはタクシーの配車とかウーバーイートの アサインと同じで空いている人、ロケーションが近い人が優先されてしまう。本当のプロフェッショナルは数が限られているのでお座敷の予約で新規に割り当てができない事情もある。
所詮、結果責任を負う訳でもない審査機関は最初から頼るべきものでもない。医者が悪いのでなく不養生してきた本人が悪いということだ。
/
