akikuni

敵は不正アクセスだけじゃない!内部犯も想定したセキュリティで個人情報を守りぬけ

  • このエントリーをはてなブックマークに追加

by [2014年11月04日]

IT 技術の進歩と共に広範囲にわたって利用・収集できるようになってきたことから、個人情報の価値は年々高まっていると言われている。それに伴い、プライバシーの概念は「自己の情報をコントロールする権利」にまで拡大され議論されることもかなり増えてきた。
当然、企業には個人情報の適切な管理が求められるわけだが、その際には外部からの不正アクセスだけでなく、内部犯行に対してもセキュリティをしっかりと組まなければならない、ということが2014年のベネッセの情報漏えい事件で露呈した。

クオリティソフト株式会社 営業本部 流通営業部 アカウントマネージャー 秋國 史裕氏

そこで、本記事では APPREVIEW 編集部が取材したセミナー『情報漏洩事件に学ぶ、内部犯行の手口と対応策』を元に、内部犯行に対するセキュリティのあり方を考えてみる。
このセミナーは、IT 資産管理ツール『QND シリーズ』等をリリースしているクオリティソフト株式会社の秋國 史裕氏によって行われた。同氏によれば、QND を利用することで外部からの攻撃だけでなく内部犯行も防げるという。

QND には内部犯行を防ぐのに役立つ機能(オレンジ色)が完備されているそうだ。

情報漏えいは、ほぼ毎日起きている

個人情報の流出と言えば、ベネッセの個人情報漏えい事件が記憶に新しい。この事件では延べ2億1639万件の個人情報が名簿業者に売却され、実被害として約4,858万件の個人情報が流出したとの推計もある。
日本国民の全人口のうち、実に約38%もの人の情報が漏えいしたこの事件は、外部からの不正アクセスなどではなく、顧客管理システムの保守管理を委託されていた外部業者の派遣社員の犯行によるものであった。
この事件をきっかけに、企業の内部不正に対する意識は高まった」と秋國氏は言う。実際に、経済産業省主催の内部不正防止に関するセミナーへ参加する企業は増え、IPA (情報処理推進機構) の公開していた内部不正のガイドラインは一ヶ月で約8千ダウンロードされたそうだ。

実際のところ、ベネッセ事件以外は規模が小さく報道されなかっただけで、情報漏えい事件はほぼ毎日発生している。実際に情報漏えいが起きたとなれば、民事賠償や株価の下落など多大な被害を被ることになるため、セキュリティ意識の高まりは理解できる。
ベネッセの事件でも、被害を受けた人に対して図書カードや電子マネーで一人あたり500円の賠償をしたが、4000万件以上の被害があったため賠償額全体では200億円となった。過去の事例によっては、一人あたり3万円の賠償をしたケースもあり、ベネッセほど大規模な漏えいでなくとも賠償額は大きくなりうる。やはり多少コストが高くついても、セキュリティは万全にすべきだろう。

情報漏えいはほぼ毎日起きている。この情報は Security Next というサイトで確認することができる。

デジタル化された情報に対するセキュリティ組みは重要

今までの情報漏えいを分析してみると、その原因のほとんどが誤作動や管理ミスといった人的ミスであることが分かる。内部不正、とまではいかずとも、こうしたミスをいかに減らすか、いかに気付くかも重要である。

また、媒体別の情報漏えい件数を見てみると、紙による情報漏えいが多いのに対し、漏えいした個人情報の件数でいえば USB メモリ等の可搬デバイスによるものが圧倒的だ。つまり、USB デバイスに保管された情報は、一度の漏えいでもかなりの数の個人情報の流出に繋がってしまうということが分かる。デジタル化された個人情報のセキュリティは非常に重要だ。


2つのグラフから、USB メモリの情報漏えいでは一件でもかなりの数の個人情報が流出していることが分かる。※インシデント=IT保安上の脅威
 

ここで、ベネッセの情報漏えいを振り返ってみると、個人情報委託先の調査 ・ データベースへのアクセス制限 ・ PC の持ち込み制限 ・ USB ストレージの利用制限、など一般企業レベルの管理体制は敷かれていたことが既に分かっている。
しかし、アクセス権を持っている人物が、USBケーブルによるスマホ充電時に偶然発見したセキュリティホール(USBメモリへのデータ書き込みは禁止されていたが、スマートフォンは利用できてしまった)を利用して情報を漏えいしてしまったのだ。また、情報の漏えいから発覚まで、約1年と長い時間がかかったことも問題である。

内部不正を防ぐために見直すべき3つのポイント

今回の事件から、内部不正による個人情報漏えいのために検討すべきポイントは、担当業務に応じた管理権限の細分化可搬記憶媒体の持ち込みや利用制限定期的なログ監視の3つである。
まず、担当業務に応じた管理権限の細分化については、個人個人や部署ごとにアクセス権限を分け、人事異動のたびに再度アクセス権限を細分化する、ということをやるしかないだろう。

可搬記憶媒体については、近年の IT 技術の進歩と共にデバイスの数が増え、また、データの読み書きのプロトコルもどんどん増えてくるので、全てに対応しようとするとどうしても後手後手の対応に回ってしまう。そのため、可搬記憶媒体の制限は、禁止事項を設けてデータの読み書きを制限する、というよりも、許可されたデバイスに許可された方式でのみ読み書きを行えるようにする、という必要があるのではないだろうか。

実際、Android には USB 接続方式として、カードリーダーモードMTP モードPTP モードというものがあり、カードリーダーモード以外の2つは従来の USB ストレージのアクセス制限をすり抜けることができる、というのがベネッセ事件の肝だった。また、ここが解決できても、例えば iTunes を用いたデバイス同期のように、アプリを利用した別のプロトコルで読み書きを行うものは防げない上に、アプリも無数に存在する。やはりアクセス権は許可制にし、例えば登録された USB メモリのみアクセスできるようにしておいて、業務上どうしてもスマホやデジカメとアクセスする必要がある場合にはカードリーダーモードで登録して使う、というようにするしかないだろう。

定期的なログ監視に関しては、実際にログを取っても量が多すぎて中身を確認しきれないからやらない、という企業もあるが、絶対にやるべきだ。というのもログが無ければ、いざという時に問題を分析し、内部不正を追及することが難しくなるからだ。
また、実際にログの中身を全て確認する必要は無く、問題のある操作や通信のログが検出された場合に動き出せる体制をしっかり作っておけば十分であるし、それができなくとも、「ログをしっかり取っている。いざとなれば誰の操作によるものかはっきりさせて、罪に問うことができる」というだけでもかなりの抑止力になるだろう。

備えあれば憂いなし

日本ネットワークセキュリティ協会の調査によれば、情報漏えいの件数は増えており、また、漏えいが起きた場合の被害者に対する一人あたりの想定賠償額も長い目で見れば増大している。今後も更に個人情報の価値が高まっていく中、技術の進歩によりデバイスやアプリが多様化し、しかも昔に比べれば正規雇用以外の働き方も増えているこの状況で、個人情報の漏えいを防ぐためには内部不正に対してもしっかりと対策しなくてはならないのは当然の流れだと言えよう。最近は IT スタートアップが盛んだが、せっかく事業が拡大しても個人情報の漏えいでキャッシュや信用を失ってしまっては元も子もないので、初期段階からしっかりとシステムを構築し、万全に備えることが重要である。

▼参考リンク
クオリティソフト株式会社HP – 今回取材したセミナーの主催企業
Security NEXT – このページで日々起きている情報漏えいの事例が公開されている
情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ – 日本ネットワークセキュリティ協会の調査報告書

コメントは受け付けていません。

PageTopへ