70億の大損害を防ぐ!DBセキュリティの基礎

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

70億の大損害を防ぐ!DBセキュリティの基礎

2009/10/06


 情報漏洩事件の大半が、データベースの不正使用から始まっていることは、様々な事件報道から明らかだ。不正なSQLによるデータベースへのアクセスについては2月掲載の「SQLインジェクションで情報がダダ漏れ!?」をご参照いただくとして、今回は、それ以外のデータベースへの脅威には何があるのか、それに対処するための策とはどのようなものかを考えてみよう。

データベースセキュリティ

#009

33万円で情報を売ったら70億円の損害に!

 2009年9月9日、国内では最も深刻な情報漏洩事件の初公判が開廷された。被告席に立ったのは、当時A証券会社のシステム部門部長代理(すでに解雇)だったK被告(44歳)。Kは不正アクセス禁止法違反と窃盗の罪が問われていた。起訴状に記されたKの不正行動は次のようなものだ。

・  2009年1月26日 A社のシステム部内でデータベースに他人のIDを使って不正にアクセス。
・  データベースには顧客情報(住所・氏名・電話番号・年収など)が格納されており、Kはその中から約149万件の情報を1枚のCDにコピーした。
・  Kは情報をコピーしたCDを2月に社外に持ち出し(窃盗)、3つの名簿業者に持ち込み、買い取りを持ちかけた。
・  しかし名簿業者では新しい情報でなければ高くは買い取らないことを知り、不正入手した顧客情報のうち4万9159人分の氏名と住所、電話番号、性別、生年月日、職業、年収区分、役職、勤務先の情報を4つの名簿業者に売ることに成功した。
・  ところがこの売買でKが得たのはわずか13万円程度。500万円ほどの借金をかかえていたKは、さらに不正な売買を行うために、3月には同様の手口で約122万件の企業情報を盗み出した。
・  企業情報も同様に売却、その対価として20万円を受け取った。

 検察側から突きつけられたこれらの事実に対し、Kは「間違いありません」と全面的に認めている。
 Kが得た利益は合計で約33万円。それに対してA社の被害算定額はなんと「約70億3500万円」(検察の試算による)にのぼるという。その内訳は次のとおりだ。

情報が流出した約5万人に対する「お詫びのしるし」=1万円相当のギフト券を発送。
事件調査のコスト
顧客からの問い合わせ対応コスト
顧客情報の売却先と交渉するための弁護士費用
機関投資家からの発注減少

 Kが得た利益とはとうてい釣り合わない甚大な被害が生じていることになる。加えて信用が何より大切な証券会社にとって、イメージの失墜は最も痛いところだったのは間違いない。

  ※ケースファイルは現実の事件をもとに編集部作成。5月掲載の本コーナー「機密情報が闇市場で売買されていた!」でも同事件を扱っているのでご参照いただきたい。今回は初公判で明らかになった事実をもとに再構成した。




1

事件があぶり出した情報アクセス権限の管理と行動監視・監査の未整備

 ケースファイルの場合は、データベースを使って顧客情報にアクセスできた社員が8人いた。K被告もそのなかに含まれていたが、犯行時には別の社員のID/パスワードを使用したという。しかも直接自分で顧客情報をコピーするのではなく、いったん別サーバにコピーした後、通常業務と偽ってオペレータに顧客情報をCDに保存させた。中途半端な目くらましを企んだようではあるが、そんな単純な手口がまかり通ってしまったところに、A社の管理の甘さが見える。なぜK被告が他人のID/パスワードを使えたのか?なぜそのIDには顧客情報を大量に閲覧できるような大きな権限が付与されていたのか?そしてそれによって重要な情報が抜き出されていても顧客からのクレームが寄せられるまではなぜ誰も気づかなかったのか?
 この事件により明らかになったのは、情報へのアクセス権限の管理のずさんさと、何が行われているかを常に監視して不正が行われれば直ちにわかるような仕組みが整備されていないことだ。
 もっとも、こうした現状を抱えているのはA社だけではない。最近報道されることが多い情報漏洩事件の大半は、社内の人間や業務委託先などの関係者による内部からの情報持ち出しが原因だ。
 もしも自社のデータベース管理者やシステム管理者が情報流出をもくろんだら……。想像すると背筋が寒くなる企業は多いのではないだろうか。

このページの先頭へ

セキュリティ情報局にご登録頂いた方限定で「70億の大損害を防ぐ!DBセキュリティの基礎」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


データベースセキュリティ/70億の大損害を防ぐ!DBセキュリティの基礎」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「データベースセキュリティ」関連情報をランダムに表示しています。

データベースセキュリティ」関連の特集


不正アクセス増加に伴い、セキュリティ対策の必要性は高まる一方!進化する“セキュリティ診断サービス”の…



 前回は、なぜ私たちJNSA情報セキュリティ対策マップWG(ワーキンググループ)が情報セキュリティ対…



 これまで2回にわたってデータベース・セキュリティについて解説してきた。最後となる今回は、データベー…


データベースセキュリティ」関連のセミナー

データベースシステムに迫る脅威へ未来志向の解決策 【富士通】  

開催日 8月31日(金)   開催地 東京都   参加費 無料

「企業や組織の根幹を担うデータベースシステムの安定稼働は、常に脅威にさらされています。」 そう言われた時にどのような脅威を思い浮かべますか? 一つはサイバー攻撃…

データベースシステムに迫る脅威へ未来志向の解決策 【富士通】  

開催日 6月29日(金)   開催地 東京都   参加費 無料

「企業や組織の根幹を担うデータベースシステムの安定稼働は、常に脅威にさらされています。」 そう言われた時にどのような脅威を思い浮かべますか? 一つはサイバー攻撃…

データベースシステムに迫る脅威へ未来志向の解決策 【富士通】  

開催日 7月20日(金)   開催地 東京都   参加費 無料

「企業や組織の根幹を担うデータベースシステムの安定稼働は、常に脅威にさらされています。」 そう言われた時にどのような脅威を思い浮かべますか? 一つはサイバー攻撃…

「データベースソフト」関連の製品

「Redis」実践解説:GCP上で冗長化と高速化を実現するための構成例 【grasys】 全てのデータソースへSQLでアクセス、データ構造の壁を超えるRDBMSとは? 【日本アイ・ビー・エム】 “脱Excel”でDB管理を効率化、「MRJ」開発を支える三菱航空機の情報共有基盤(UnitBase) 【ジャストシステム】
データベースソフト データベースソフト データベースソフト
「Redis」実践解説:GCP上で冗長化と高速化を実現するための構成例 全てのデータソースへSQLでアクセス、データ構造の壁を超えるRDBMSとは? “脱Excel”でDB管理を効率化、「MRJ」開発を支える三菱航空機の情報共有基盤

「サーバー」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003285


IT・IT製品TOP > サーバー > データベースソフト > データベースソフトのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ