SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化


 トヨタファイナンスは名が表すように、自動車メーカー系金融会社。トヨタ車の販売や購入はじめ、ライフスタイルを金融面でサポートする事業などを展開している。金融会社ゆえに顧客の個人情報保護が何よりも重要な課題だ。どのように取り組んでいるのか、同社 事務リスク管理部長 丹羽浩二氏におうかがいした。

顧客の個人情報保護が第一優先。説明責任を果たすスタートラインにログ分析

 社名に「トヨタ」が入りつつも金融系。丹羽氏は「製造は可用性、金融は機密性」と違いを端的に表す。製造業はラインが止まると事業に差し障りが出るため、可用性の維持が重要だ。一方、金融は個人情報など重要な情報を扱うため、機密性が重要になる。死守すべきところが対照的だ。 

 トヨタファイナンスはクレジットカード事業や自動車ローンなどを扱うため、所有する情報は顧客の個人情報が多い。保有する情報はカード会員情報、割賦契約情報(完済しても履歴として保有するものも含む)など、2700万会員分もある。  

トヨタファイナンス株式会社 事務リスク管理部長 丹羽 浩二氏

 同社では2014年7月、情報セキュリティへの脅威の高まりをうけて「情報セキュリティ専門部署」を設立した。当時は外部攻撃によるネットバンキング被害が多発するようになったころで、同社でも2014年度に入り複数の攻撃を確認していた。サイバー攻撃は高度化し、ウィルス対策や基本認証といった従来型対策では不十分だという危機感があった。また通信教育事業社で内部不正による大規模な情報漏えいが生じた年でもあった。

 「トヨタグループであり、クレジットカード事業社としてお客様の情報を守ることが最重要」という大前提を掲げつつも、現実的には外部攻撃や内部不正を完全に防ぐことは不可能だ。そこで有事が生じた際に説明責任が果たせるかどうか、現状の体制を見直した。 

 実際のインシデントがどんな形であれ、どのような対策を施していて、いつ、何が起きたかを説明できるようにするには、現状把握とトレーサビリティが欠かせない。丹羽氏は「スタートラインにログ分析がありました」と話す。まずは2014年度に会員Webサイトの監視強化としてIPS(不正侵入防止システム)、業務端末への標的型攻撃の早期検知として振る舞い検知ツール導入などを施した。  

 振る舞い検知ツールの導入により、不審なメールの到着状況が可視化できた。不審なメールが届いていたメールアドレスは約200人分。これらに対して(数ヶ月の告知期間をおいて)メールアドレス変更を施したところ、ほぼぴたっと不審なメールは届かなくなった。丹羽氏は「メールアドレスを変更したら止まったので、ばらまき型メールであり、標的型攻撃の可能性は低いようだ」と分析している。

次のページ
SIEM導入による監視強化でデロイトトーマツリスクサービスをパートナーに

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11092 2018/11/06 10:05

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング