Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化

2018/08/30 06:00

 トヨタファイナンスは名が表すように、自動車メーカー系金融会社。トヨタ車の販売や購入はじめ、ライフスタイルを金融面でサポートする事業などを展開している。金融会社ゆえに顧客の個人情報保護が何よりも重要な課題だ。どのように取り組んでいるのか、同社 事務リスク管理部長 丹羽浩二氏におうかがいした。

顧客の個人情報保護が第一優先。説明責任を果たすスタートラインにログ分析

 社名に「トヨタ」が入りつつも金融系。丹羽氏は「製造は可用性、金融は機密性」と違いを端的に表す。製造業はラインが止まると事業に差し障りが出るため、可用性の維持が重要だ。一方、金融は個人情報など重要な情報を扱うため、機密性が重要になる。死守すべきところが対照的だ。 

 トヨタファイナンスはクレジットカード事業や自動車ローンなどを扱うため、所有する情報は顧客の個人情報が多い。保有する情報はカード会員情報、割賦契約情報(完済しても履歴として保有するものも含む)など、2700万会員分もある。  

トヨタファイナンス株式会社 事務リスク管理部長 丹羽 浩二氏

 同社では2014年7月、情報セキュリティへの脅威の高まりをうけて「情報セキュリティ専門部署」を設立した。当時は外部攻撃によるネットバンキング被害が多発するようになったころで、同社でも2014年度に入り複数の攻撃を確認していた。サイバー攻撃は高度化し、ウィルス対策や基本認証といった従来型対策では不十分だという危機感があった。また通信教育事業社で内部不正による大規模な情報漏えいが生じた年でもあった。

 「トヨタグループであり、クレジットカード事業社としてお客様の情報を守ることが最重要」という大前提を掲げつつも、現実的には外部攻撃や内部不正を完全に防ぐことは不可能だ。そこで有事が生じた際に説明責任が果たせるかどうか、現状の体制を見直した。 

 実際のインシデントがどんな形であれ、どのような対策を施していて、いつ、何が起きたかを説明できるようにするには、現状把握とトレーサビリティが欠かせない。丹羽氏は「スタートラインにログ分析がありました」と話す。まずは2014年度に会員Webサイトの監視強化としてIPS(不正侵入防止システム)、業務端末への標的型攻撃の早期検知として振る舞い検知ツール導入などを施した。  

 振る舞い検知ツールの導入により、不審なメールの到着状況が可視化できた。不審なメールが届いていたメールアドレスは約200人分。これらに対して(数ヶ月の告知期間をおいて)メールアドレス変更を施したところ、ほぼぴたっと不審なメールは届かなくなった。丹羽氏は「メールアドレスを変更したら止まったので、ばらまき型メールであり、標的型攻撃の可能性は低いようだ」と分析している。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5