顧客の個人情報保護が第一優先。説明責任を果たすスタートラインにログ分析
社名に「トヨタ」が入りつつも金融系。丹羽氏は「製造は可用性、金融は機密性」と違いを端的に表す。製造業はラインが止まると事業に差し障りが出るため、可用性の維持が重要だ。一方、金融は個人情報など重要な情報を扱うため、機密性が重要になる。死守すべきところが対照的だ。
トヨタファイナンスはクレジットカード事業や自動車ローンなどを扱うため、所有する情報は顧客の個人情報が多い。保有する情報はカード会員情報、割賦契約情報(完済しても履歴として保有するものも含む)など、2700万会員分もある。
トヨタファイナンス株式会社 事務リスク管理部長 丹羽 浩二氏
同社では2014年7月、情報セキュリティへの脅威の高まりをうけて「情報セキュリティ専門部署」を設立した。当時は外部攻撃によるネットバンキング被害が多発するようになったころで、同社でも2014年度に入り複数の攻撃を確認していた。サイバー攻撃は高度化し、ウィルス対策や基本認証といった従来型対策では不十分だという危機感があった。また通信教育事業社で内部不正による大規模な情報漏えいが生じた年でもあった。
「トヨタグループであり、クレジットカード事業社としてお客様の情報を守ることが最重要」という大前提を掲げつつも、現実的には外部攻撃や内部不正を完全に防ぐことは不可能だ。そこで有事が生じた際に説明責任が果たせるかどうか、現状の体制を見直した。
実際のインシデントがどんな形であれ、どのような対策を施していて、いつ、何が起きたかを説明できるようにするには、現状把握とトレーサビリティが欠かせない。丹羽氏は「スタートラインにログ分析がありました」と話す。まずは2014年度に会員Webサイトの監視強化としてIPS(不正侵入防止システム)、業務端末への標的型攻撃の早期検知として振る舞い検知ツール導入などを施した。
振る舞い検知ツールの導入により、不審なメールの到着状況が可視化できた。不審なメールが届いていたメールアドレスは約200人分。これらに対して(数ヶ月の告知期間をおいて)メールアドレス変更を施したところ、ほぼぴたっと不審なメールは届かなくなった。丹羽氏は「メールアドレスを変更したら止まったので、ばらまき型メールであり、標的型攻撃の可能性は低いようだ」と分析している。
