70億の大損害を防ぐ!DBセキュリティの基礎

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

70億の大損害を防ぐ!DBセキュリティの基礎

2009/10/06


 情報漏洩事件の大半が、データベースの不正使用から始まっていることは、様々な事件報道から明らかだ。不正なSQLによるデータベースへのアクセスについては2月掲載の「SQLインジェクションで情報がダダ漏れ!?」をご参照いただくとして、今回は、それ以外のデータベースへの脅威には何があるのか、それに対処するための策とはどのようなものかを考えてみよう。

データベースセキュリティ

#009

33万円で情報を売ったら70億円の損害に!

 2009年9月9日、国内では最も深刻な情報漏洩事件の初公判が開廷された。被告席に立ったのは、当時A証券会社のシステム部門部長代理(すでに解雇)だったK被告(44歳)。Kは不正アクセス禁止法違反と窃盗の罪が問われていた。起訴状に記されたKの不正行動は次のようなものだ。

・  2009年1月26日 A社のシステム部内でデータベースに他人のIDを使って不正にアクセス。
・  データベースには顧客情報(住所・氏名・電話番号・年収など)が格納されており、Kはその中から約149万件の情報を1枚のCDにコピーした。
・  Kは情報をコピーしたCDを2月に社外に持ち出し(窃盗)、3つの名簿業者に持ち込み、買い取りを持ちかけた。
・  しかし名簿業者では新しい情報でなければ高くは買い取らないことを知り、不正入手した顧客情報のうち4万9159人分の氏名と住所、電話番号、性別、生年月日、職業、年収区分、役職、勤務先の情報を4つの名簿業者に売ることに成功した。
・  ところがこの売買でKが得たのはわずか13万円程度。500万円ほどの借金をかかえていたKは、さらに不正な売買を行うために、3月には同様の手口で約122万件の企業情報を盗み出した。
・  企業情報も同様に売却、その対価として20万円を受け取った。

 検察側から突きつけられたこれらの事実に対し、Kは「間違いありません」と全面的に認めている。
 Kが得た利益は合計で約33万円。それに対してA社の被害算定額はなんと「約70億3500万円」(検察の試算による)にのぼるという。その内訳は次のとおりだ。

情報が流出した約5万人に対する「お詫びのしるし」=1万円相当のギフト券を発送。
事件調査のコスト
顧客からの問い合わせ対応コスト
顧客情報の売却先と交渉するための弁護士費用
機関投資家からの発注減少

 Kが得た利益とはとうてい釣り合わない甚大な被害が生じていることになる。加えて信用が何より大切な証券会社にとって、イメージの失墜は最も痛いところだったのは間違いない。

  ※ケースファイルは現実の事件をもとに編集部作成。5月掲載の本コーナー「機密情報が闇市場で売買されていた!」でも同事件を扱っているのでご参照いただきたい。今回は初公判で明らかになった事実をもとに再構成した。




1

事件があぶり出した情報アクセス権限の管理と行動監視・監査の未整備

 ケースファイルの場合は、データベースを使って顧客情報にアクセスできた社員が8人いた。K被告もそのなかに含まれていたが、犯行時には別の社員のID/パスワードを使用したという。しかも直接自分で顧客情報をコピーするのではなく、いったん別サーバにコピーした後、通常業務と偽ってオペレータに顧客情報をCDに保存させた。中途半端な目くらましを企んだようではあるが、そんな単純な手口がまかり通ってしまったところに、A社の管理の甘さが見える。なぜK被告が他人のID/パスワードを使えたのか?なぜそのIDには顧客情報を大量に閲覧できるような大きな権限が付与されていたのか?そしてそれによって重要な情報が抜き出されていても顧客からのクレームが寄せられるまではなぜ誰も気づかなかったのか?
 この事件により明らかになったのは、情報へのアクセス権限の管理のずさんさと、何が行われているかを常に監視して不正が行われれば直ちにわかるような仕組みが整備されていないことだ。
 もっとも、こうした現状を抱えているのはA社だけではない。最近報道されることが多い情報漏洩事件の大半は、社内の人間や業務委託先などの関係者による内部からの情報持ち出しが原因だ。
 もしも自社のデータベース管理者やシステム管理者が情報流出をもくろんだら……。想像すると背筋が寒くなる企業は多いのではないだろうか。

このページの先頭へ

セキュリティ情報局にご登録頂いた方限定で「70億の大損害を防ぐ!DBセキュリティの基礎」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


データベースセキュリティ/70億の大損害を防ぐ!DBセキュリティの基礎」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「データベースセキュリティ」関連情報をランダムに表示しています。

データベースセキュリティ」関連の特集


 これまで2回にわたってデータベース・セキュリティについて解説してきた。最後となる今回は、データベー…



 RDBMSにおける情報保護、いわゆるデータベース・セキュリティは2004年、個人情報保護法の完全施…



今や“ログ管理”は企業規模を問わず、発注元などから求められる要件になってきている。最近ではログ収集の…


「データベースソフト」関連の特集


従来比で100倍もの処理性能を達成した「超高速データベースエンジン」。従来型のDBとなにが違うのか?…



 前回の 「"データベース暗号"は本当に必要なのか?<1>」 では、<データベース暗号> で防ぐこと…



「サイボウズ デヂエ 8」導入によってお金に関する情報を全社で共有した京葉工管。未回収売掛金の案件が…


「サーバー」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003285


IT・IT製品TOP > サーバー > データベースソフト > データベースソフトのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ