ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第1回 顧客情報流出事件で分かった、セキュリティ対策で欠かせない大切なポイント
2014年7月、大手通信教育会社による顧客情報流出事件が発生しました。流出した件数は約3,504万件(2014年9月末現在)となり、非常に大規模な事件となりました。従来では「不慮の事故」として発生するケースが主だった情報漏えい事件。最近では社内関係者の不正なデータ持ち出しによって発生するケースが増えてきています。
◆ “外部犯行”より圧倒的に多い“内部犯行”をいかに防ぐか
企業での最低限のITセキュリティ対策といえば、脆弱性対策(Windows Updateなど)とウイルス対策です。加えて最近では、ゲートウェイ対策(ネットワークの入口・出口対策)を検討・導入する企業が増えています。しかし、今回の事件のようないわゆる“内部犯行”の場合は、こうした対策だけでは不十分であり、更なる対策を講じる必要があります。
そもそも今回の事件は、管理者IDを持つ派遣社員が業務中に顧客データベースから名簿の一部を抽出し、職場の貸与PCに私物のスマートフォン(Android)を接続してデータを持ち出したことが事の発端です。この会社では、貸与PCのUSBメモリーへのデータ書き込みを禁止にする設定にしていましたが、Androidのスマートフォン特有のデータ転送方式には対応できていませんでした。ログ管理ソフトのほとんどに端末制御機能は付いているものですが、特にAndroidスマートフォンは端末ごとにOSも違えば仕様も違い、次々と新しいバージョンも出てくるため、ここに対処しようとしてもイタチごっこになってしまうのです。
◆ 今回の事件で最も大切なポイント
今回の事件で最も大切な点は「犯人が捕まったこと」、そしてこの犯人を特定するための「端末操作ログがあったこと」です。もしこのログが無かったら・・・、犯人特定にはきっと至らなかったことでしょう。ここが最も大切な点なのです。管理者IDを持つ人間が悪意を持てば、どのような抑止力が働こうと情報漏えいを防ぐことはできません。あらためて、ログを取ることの重要性がクローズアップされた事件であったといえます。
「うちの会社は取られる情報が無い」という言葉をよく耳にしますが、少なくとも得意先・担当者・電話番号などの情報はあることでしょう。
万が一、悪意を持つ社員が大切な情報を外部に流出させ、その流出元が自身の会社と特定されたら・・・。さらには犯人を特定させる手段がなかったとしたら・・・。
みなさんの会社は、本当に信用を守れますか?
--------------------------------
<大塚商会がご提供できるソリューション>
ログの管理と合わせて不正な利用者に対するアクセスの抑止や監視を強化し、情報漏えいを防ぎます。
--------------------------------