FC2ブログ

FPの知恵・要望を結集したライフプランソフト開発ブログ

家計分析・シミュレーションソフト「FinancialTeacherSystem」や、家計に関する情報をお届けしています

バグ発見の報奨金の仕組みも、万能ではない

【田嶋陽子氏、システムのバグ発見で1000万円単位の報奨金を…銀行員11億円着服容疑で提言】
http://headlines.yahoo.co.jp/hl?a=20161014-00000088-sph-soci


田島氏が述べたような方法を採用することで、不正がなくなる、という気持ちはわからなくはないですが、残念ながら万能な方法でもありません。

メディアは、この報奨金の仕組みを素晴らしいと伝える傾向がありますが、現実には運用上の問題もあります。
思うような成果を上げられなかったり、報奨金の仕組みが別の問題を引き起こすこともあります。
例えば、次のような問題点が指摘されています。

■1
脆弱性を発見して報告しても、「問題ではあるが脆弱性ではない」と言われて報奨金をもらえないことがあります。
また、「その脆弱性は他の人からすでに発見しており、今回は報奨金の支払いにはならない」と言われることもあります。
実際、報奨金の支払いは、脆弱性報告全体の1割にも満たないともいわれています。
あるハッカーがこういう経験を積んでしまうと、以後見つけた脆弱性を素直に報告せず、自ら悪用してみる、または悪用する組織に情報提供して利益を受ける、というモチベーションに変わることがあります。
善意の心が、恨みに変わってしまうということです。

■2
外部からはどうやってもアクセスできないシステムに対しては、この報奨金制度は事実上役に立ちません。
今回の銀行員の不正が、原理的に組織内部の人間にしかできない操作だったのであれば、いくら外部の力を借りても発見することはできません。

■3
脆弱性を発見したがる方が、必要以上にシステムに負荷をかけていしまい、正規の利用者がそのシステムを利用できなくなることがあります。
脆弱性報奨金制度を採用する場合、それに備えてシステム増強のコストを積まなくてはならない場合もあります。

■4
報奨金を得る目的で、次のように開発者が悪事を働くこともあり得ます。
・ある開発者がわざと脆弱性を仕込む
・その開発者が脆弱性の報告をするわけにもいかないので、別の人に脆弱性を伝え、報告してもらう
・得た報奨金を、裏でこっそり、開発者と山分けする

■5
思った以上に脆弱性を発見されてしまうと、報奨金支払いが多額になり、財務状況の悪化を招くこともあります。そうなると、そのコストはどこかに転嫁されていくことになります。
へっぽこエンジニアたちによって作られたシステム、仕組みがぐちゃぐちゃになって容易にメンテナンスできないシステムだと、このリスクがあります。

 
といろいろ書きましたが、そもそも不正を防ぐということはなかなか難しいものです。
犯罪者を擁護するつもりは全くありませんが、権限を持つ人がその気になれば、不正は行えてしまうことも多々あるのです。
そういう土壌をなくしていくことは、組織全体で永遠に取り組み続けなければならないことですが、根本的には、外部に頼って解決できるものではないのです。
関連記事
スポンサーサイト



  1. 2016/10/21(金) 08:43:01|
  2. IT関連
  3. | トラックバック:0
  4. | コメント:0
<<ライフプランソフト バージョンアップ / 退職金の自動推計機能など7件の更新 | ホーム | 公的介護保険料の引き上げで、誰がその負担を背負うのか>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
https://financialteacher.blog.fc2.com/tb.php/623-a7449996
この記事にトラックバックする(FC2ブログユーザー)

プロフィール

著者:「FPの知恵・要望を結集した無料のライフプランソフトFinancial Teacher System」開発チーム代表 佐藤潔之

著者:「FPの知恵・要望を結集した無料のライフプランソフトFinancial Teacher System」開発チーム代表 佐藤潔之



金融業界でシステム開発に関わっているITコンサルタント・システムエンジニアです。当ライフプランソフト(家計分析シミュレーションソフト)はどなたでも使えるフリーソフトなので、どうぞご利用ください。

マネーやFPに関する勉強会を複数運営しています。詳しくは下記リンクの項目をご覧ください。

保有資格:FP1級/証券外務員1種/簿記2級/データベーススペシャリスト/情報セキュリティスペシャリスト/応用情報技術者/Microsoft認定ITプロフェッショナル

リンク

QRコード

QR

検索フォーム

最新記事

最新コメント

最新トラックバック

カテゴリ

未分類 (13)
FP関連の勉強会 (36)
ライフプラン・家計 (34)
年金・社会保険 (38)
保険・リスク管理 (52)
金融資産運用・経済 (58)
税金 (30)
不動産 (45)
贈与・民法 (14)
相続・事業承継 (49)
FP試験関連 (4)
ビジネススキル (12)
筆者のつぶやき (47)
マーケティング (10)
ライフプランソフト/金融シミュレーションソフト (224)
IT関連 (33)

RSSリンクの表示

月別アーカイブ