内部不正を防ぐ“委託先管理”と物理セキュリティ

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

内部不正を防ぐ“委託先管理”と物理セキュリティ

2014/09/16


 先般の大手教育事業会社の情報漏洩事件は、周到な情報セキュリティ対策を横目に、データベースへのアクセス権限を持つ「正当」なユーザ(管理者)が不正にデータをコピーして持ち出し、売却した内部不正によるものだった。どれほどシステム上の対策を多重化しても、委託先を含めた内部関係者の悪意に基づく不正行為を完全には止められず、しかもその結果が明らかに許容レベルを超える損害をもたらす可能性が高いことを改めて思い知らされた。日々のセキュリティ運用に汗を流す一般のIT技術者が無力感を感じてしまうのはやむを得ないが、それでもリスク最小化を諦めることは許されない。今回はいつものITシステム上のセキュリティ実装という視点に加え、社内および委託先のITマネジメント、さらに物理セキュリティについて考えてみよう。

物理セキュリティ

空前の情報漏洩事件でセキュリティ対策の壁を崩したのは「蟻の一穴」だったのか?

 7月9日に公表された大手教育事業会社B社の個人情報漏洩事件は、当初760万件が流出したと発表され、その空前の規模に驚かされた。その後件数は約620万件と訂正されたが、一方で犯人と目されるSEの39歳男性Mが私物のスマートフォン経由でSDカードにコピーした個人データは約2260万件に及び、昨年7月〜今年6月にかけて名簿業者3社に合計20回、延べ2億300万件の顧客情報が売却されたことがわかっている。犯人探しは比較的早期に結論が出て、7月17日に「不正競争防止法違反(営業秘密の複製)」容疑でMが逮捕、その後起訴された。Mは容疑を認めている。図1に事件概要を示す。

図1 大規模情報漏洩事件の構図
図1 大規模情報漏洩事件の構図
B社は6月27日から調査を開始、調査会社を通して名簿を入手してDBと照合、情報漏洩が判明した。

 この事件でMが得た利益は合計400万円とされる一方、B社では被害者の補償に200億円、その他の対応に60億円を費やす(特別損失として計上)ことになり、代表取締役副会長とCIOの2名が引責辞任する事態にもなった。ブランドイメージがこの事件で著しく失墜したことも否めず、今後の事業にも影響を与えそうだ。
 図に見るように、直接情報持ち出しの手段に使われたのはスマートフォンへのデータコピーだ。それが強制的に禁止されていなかったことが蟻の一穴となり、大規模な情報漏洩につながったという見方も一面で可能かもしれない。しかしそればかりが原因とは到底考えられない。今回は、この事件をカギに、内部関係者の不正行為による情報漏洩を未然に防ぐために、どんな対策が必要なのかを考えてみよう。


1

大規模情報漏洩事件で問題だったのはどこなのか?

 上述の事件はほとんどの組織のIT部門の不安を掻き立てたはずだ。なぜならB社が一般的な企業の平均的水準を上回るような情報セキュリティ対策をとっていたと思われるからだ。例えば外部からの不正アクセスによる情報漏洩の可能性を早期から除外できていた(7月9日時点で異常がないことを確認済み)ことは、不正アクセス対策が周到にとられていたことを推測させる。また事件発覚から間もなく内部犯行であることが突き止められ、約1週間でMの逮捕に至ったスピードは、システムのログが適切に取得されていたことをうかがわせる。
 実際、B社は適切な個人情報保護体制を備えることを認証するPマークを取得しており、システム運用委託先のS社はISMS(情報セキュリティ管理システム)認証業者だった。また当該システムはセキュリティ専門会社による24時間の不正アクセス監視サービスを利用してもいた。
 それにも関わらず、内部不正が重大事件を引き起こしたのだ。セキュリティ対策と運用に心をくだくITスタッフと管理者が無力感を感じるのは無理もない。しかし、実際にはB社の対策も盤石なものではなかった。対策の詳細は公表されていないので以下は推測に過ぎないが、事件を未然に防ぐ手立てはあったと思われる。主な問題点として次の3つが指摘できよう。

■USBマスストレージの使用は禁止してもスマートフォン接続は対象外だった?

セキュリティ情報局にご登録頂いた方限定で「内部不正を防ぐ“委託先管理”と物理セキュリティ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


物理セキュリティ/内部不正を防ぐ“委託先管理”と物理セキュリティ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「物理セキュリティ」関連情報をランダムに表示しています。

物理セキュリティ」関連の製品

イベント運営支援アプリ「Smart at event」 【ソフトバンク コマース&サービス】 ハンズフリー認証システム ACCURANCE-TAG(アキュランスタグ) 【オプテックス】 iPad受付システム「Smart at reception」 【ソフトバンク コマース&サービス】
受付システム 入退室管理システム 受付システム
スムーズな受付はもちろん、事前登録や案内メール、後日のフォローアップやアンケートまで、イベント運営にまつわるさまざまな業務をサポートするイベント運営支援ツール。 ハンズフリーでのスムーズな通行動線を確保しつつ、無駄開きによるセキュリティ性の低下を防止。利便性とセキュリティ性の両立を実現したハンズフリー認証システム。 オフィスの受付をすっきりと演出できるiPad受付システム。QRコードを発行し、かざすだけで受付完了と受付業務の効率化を実現。Office 365、Google Appsとの連携も可能。

物理セキュリティ」関連の特集


 これまで連載してまいりました、マイナンバーに対応した機器処分についてのお話も今回が最後となります。…



こんにちは。吉政創成の吉政でございます。「見落としがちなマイナンバーのこと」は今回で最終回になります…



 今回は、マイナンバーガイドラインに則した、機器や電子媒体に記録されたデータの削除=消去手段と、安心…


物理セキュリティ」関連のセミナー

第9回 IoT/M2M活用&産業サイバーセキュリティセミナー 【日立システムズ/日立産機システム/ジェイティ エンジニアリング/ネットワンパートナーズ】  

開催日 10月4日(水)   開催地 東京都   参加費 無料

製造業の明日を占う「IoT導入」の実例を紹介!IoTの効果だけでなく、その裏に潜む制御セキュリティも併せた両面から、導入検討のポイントを紐解きます今、あらゆる分…

データ消去ソフト ディスクシュレッダー6 製品紹介セミナー 【パーソナルメディア】  

開催日 9月28日(木),10月11日(水),10月25日(水),11月15日(水),11月29日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー6」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

データ消去ソフト USBディスクシュレッダー 製品紹介セミナー 【パーソナルメディア】  

開催日 10月11日(水),10月25日(水),11月15日(水),11月29日(水)   開催地 東京都   参加費 無料

データ消去ソフト「USBディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたし…

「物理セキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007191


IT・IT製品TOP > 物理セキュリティ > 入退室管理システム > 入退室管理システムのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ