ベネッセの内部関係者による情報漏えい事件があってからあちらこちらで「緊急セミナー」が開催されるようになった。思い起こせば、個人情報保護法の施行前後でマスコミによる情報漏えい事件報道が相次ぎ、個人情報の保護の気運が高まった。それ以来のビッグウェーブが来ているようだ。情報性キュリティ関連銘柄の株価は軒並み上昇している。
ご存じの通り、ベネッセ事件では、業務委託されていたSEが事件を起こしたとして、業務委託の是非やIT業界の下請け構造に対する批判などが行われている。
一方で、これを機にUSB接続機器のセキュリティに対する見直しも活性化しはじめた。「単なる外部記憶媒体の制御では不足!」「デバイスとして無効化をしなければならない!」などという意見が声高に叫ばれるようになったのだ。
連日の報道や緊急セミナーの影響で、経営者たちも「ウチは大丈夫なのか?」と不安を募らせているところも少なくない。これを受け、内部情報漏えい対策を行わなければ、という機運が瞬間風速的に高まり、緊急セミナーが開かれ、私のような者が招聘されて講演をする…。
これまでにセキュリティ専門家が提唱している対策は、だいたい、以下の通りである。
・アクセス権限の細分化
・業務委託先の管理の強化
・外部記憶媒体の制限の強化
・ログの収集と監査
これらは理論的に正しい。正しいのだが、実際にやってみるとなると、そうは簡単にいかない。特にログの収集は大変な課題だ。実際に、DBへのアクセスのSQL文をすべて収集、というだけでも実装できない組織が多いだろう。というのも、秒間数千~数万のログを安定して収集し続けるシステムは、数億円に上ることもあるからだ。
ベネッセのセキュリティ対策は平均以上
さて、ベネッセ事件と同様の事件を想定して再発防止を検討するのであれば、ベネッセ事件の際に行われていたセキュリティ対策は「最低ライン」となるだろう。
ベネッセ事件後、私は、かなりの数のメディア取材を受けてきた。そのたびに、「セキュリティ対策は十分ではないものの、一定程度のレベルにはあったと思われる。むしろそのレベルにはない企業がとても多く、再発が予想される。」とコメントしては、記者たちにがっかりされてきたものだ。たぶん、取材側としては、「セキュリティ対策に重大な欠陥があった」というコメントを期待していたのだ。
たとえば、数ヶ月前のSQL文を含むログなどについては、調査ができた。また、すり抜けられたもののUSB外部記憶媒体の制限などの基本的な対策はとられていた。最近、大企業のシステム部門と意見交換する機会があったが、「あそこはそれなりだったよね」と話すくらい、ベネッセのセキュリティは「そこそこ」できていたほうなのだ。
この記事は参考になりましたか?
- S&J三輪信雄のセキュリティ ニュースレター連載記事一覧
- この記事の著者
-
三輪 信雄(ミワ ノブオ)
日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
