内部不正を防ぐ“委託先管理”と物理セキュリティ

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

内部不正を防ぐ“委託先管理”と物理セキュリティ

2014/09/16


 先般の大手教育事業会社の情報漏洩事件は、周到な情報セキュリティ対策を横目に、データベースへのアクセス権限を持つ「正当」なユーザ(管理者)が不正にデータをコピーして持ち出し、売却した内部不正によるものだった。どれほどシステム上の対策を多重化しても、委託先を含めた内部関係者の悪意に基づく不正行為を完全には止められず、しかもその結果が明らかに許容レベルを超える損害をもたらす可能性が高いことを改めて思い知らされた。日々のセキュリティ運用に汗を流す一般のIT技術者が無力感を感じてしまうのはやむを得ないが、それでもリスク最小化を諦めることは許されない。今回はいつものITシステム上のセキュリティ実装という視点に加え、社内および委託先のITマネジメント、さらに物理セキュリティについて考えてみよう。

物理セキュリティ

空前の情報漏洩事件でセキュリティ対策の壁を崩したのは「蟻の一穴」だったのか?

 7月9日に公表された大手教育事業会社B社の個人情報漏洩事件は、当初760万件が流出したと発表され、その空前の規模に驚かされた。その後件数は約620万件と訂正されたが、一方で犯人と目されるSEの39歳男性Mが私物のスマートフォン経由でSDカードにコピーした個人データは約2260万件に及び、昨年7月〜今年6月にかけて名簿業者3社に合計20回、延べ2億300万件の顧客情報が売却されたことがわかっている。犯人探しは比較的早期に結論が出て、7月17日に「不正競争防止法違反(営業秘密の複製)」容疑でMが逮捕、その後起訴された。Mは容疑を認めている。図1に事件概要を示す。

図1 大規模情報漏洩事件の構図
図1 大規模情報漏洩事件の構図
B社は6月27日から調査を開始、調査会社を通して名簿を入手してDBと照合、情報漏洩が判明した。

 この事件でMが得た利益は合計400万円とされる一方、B社では被害者の補償に200億円、その他の対応に60億円を費やす(特別損失として計上)ことになり、代表取締役副会長とCIOの2名が引責辞任する事態にもなった。ブランドイメージがこの事件で著しく失墜したことも否めず、今後の事業にも影響を与えそうだ。
 図に見るように、直接情報持ち出しの手段に使われたのはスマートフォンへのデータコピーだ。それが強制的に禁止されていなかったことが蟻の一穴となり、大規模な情報漏洩につながったという見方も一面で可能かもしれない。しかしそればかりが原因とは到底考えられない。今回は、この事件をカギに、内部関係者の不正行為による情報漏洩を未然に防ぐために、どんな対策が必要なのかを考えてみよう。


1

大規模情報漏洩事件で問題だったのはどこなのか?

 上述の事件はほとんどの組織のIT部門の不安を掻き立てたはずだ。なぜならB社が一般的な企業の平均的水準を上回るような情報セキュリティ対策をとっていたと思われるからだ。例えば外部からの不正アクセスによる情報漏洩の可能性を早期から除外できていた(7月9日時点で異常がないことを確認済み)ことは、不正アクセス対策が周到にとられていたことを推測させる。また事件発覚から間もなく内部犯行であることが突き止められ、約1週間でMの逮捕に至ったスピードは、システムのログが適切に取得されていたことをうかがわせる。
 実際、B社は適切な個人情報保護体制を備えることを認証するPマークを取得しており、システム運用委託先のS社はISMS(情報セキュリティ管理システム)認証業者だった。また当該システムはセキュリティ専門会社による24時間の不正アクセス監視サービスを利用してもいた。
 それにも関わらず、内部不正が重大事件を引き起こしたのだ。セキュリティ対策と運用に心をくだくITスタッフと管理者が無力感を感じるのは無理もない。しかし、実際にはB社の対策も盤石なものではなかった。対策の詳細は公表されていないので以下は推測に過ぎないが、事件を未然に防ぐ手立てはあったと思われる。主な問題点として次の3つが指摘できよう。

■USBマスストレージの使用は禁止してもスマートフォン接続は対象外だった?

セキュリティ情報局にご登録頂いた方限定で「内部不正を防ぐ“委託先管理”と物理セキュリティ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


物理セキュリティ/内部不正を防ぐ“委託先管理”と物理セキュリティ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「物理セキュリティ」関連情報をランダムに表示しています。

物理セキュリティ」関連の製品

ハンズフリー認証システム ACCURANCE-TAG(アキュランスタグ) 【オプテックス】 待ち行列管理システムQMATIC(キューマティック) 【ベッセル】
入退室管理システム 受付システム
ハンズフリーでのスムーズな通行動線を確保しつつ、無駄開きによるセキュリティ性の低下を防止。利便性とセキュリティ性の両立を実現したハンズフリー認証システム。 窓口受付における順番待ちのストレス解消による顧客サービスの向上、待ち時間の縮小、ワークフローの改善などを実現する待ち行列管理システム。

物理セキュリティ」関連の特集


信頼性、効率性、安全性の三要素…理解してますか?ネットワーク技術者も必須の「情報セキュリティマネジメ…



面倒だけど大事なサーバ管理…の必需品、KVMスイッチの選択時に見落としがちなポイントを紹介!マウスが…



複雑な量子をレーダに応用、悪条件であっても人やモノを捉える「量子レーダ」が登場!電波を使うレーダと何…


物理セキュリティ」関連のセミナー

データ消去ソフト USBディスクシュレッダー 製品紹介セミナー 【パーソナルメディア】  

開催日 11月30日(水),12月7日(水),12月21日(水),1月11日(水),1月25日(水)   開催地 東京都   参加費 無料

データ消去ソフト「USBディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたし…

データ消去ソフト ディスクシュレッダー5 製品紹介セミナー 【パーソナルメディア】  

開催日 11月30日(水),12月7日(水),12月21日(水),1月11日(水),1月25日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー5」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

画像認識技術の今後の可能性 -多様化する監視カメラの活用方法- 【シーネット / シーネット コネクト サービス】  

開催日 12月8日(木)   開催地 東京都   参加費 無料

 2020年の東京オリンピック開催に向けてセキュリティ強化への関心が高まり、監視カメラ市場はアナログカメラから、高画質で遠隔監視も可能なネットワークカメラへと急…

「物理セキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007191


IT・IT製品TOP > 物理セキュリティ > 入退室管理システム > 入退室管理システムのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ