SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

徳丸浩が斬る、セキュリティのイマ

最近聞きがちな内部不正による情報漏えい「どこの企業でも起こり得る」リスクにどう対応する?

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第8弾。今回のテーマは「最近聞きがちな内部不正による情報漏えい『どこの企業でも起こり得る』リスクにどう対応する?」です。先日、日本の大手企業から大規模な情報流出事件が発生し、大きな話題となりました。こうした大規模な情報流失の事案は度々発生し、企業も対策を取ってはいるものの、完全に防ぐのは中々難しいのが現状です。そこで徳丸氏は、改めて「最小権限の原則」の大切さを説きます。今回は、内部不正による情報漏えいへのセキュリティ強化のポイントについて詳しく解説します。

実は難しい内部不正への対策

 はい、では今回は内部不正による情報漏えいについて、お話ししたいと思います。「最近ニュースに取り上げられたり、見ることが多い」とのことですが、これ自体は昔から起きてはいます。しかし、実際に件数が増えているかどうかは具体的に調べる必要はあるものの、ニュースなどで見る機会が増えているというのは、ある意味"世の中で注目されている"ということでもあると思います。実際に、今年のIPAの情報セキュリティ10大脅威でも組織編においては4位(昨年は5位)となっております。

図:IPAホームページ 情報セキュリティ10大脅威 2023より引用
図:IPAホームページ 情報セキュリティ10大脅威 2023より引用

  もっとも、内部不正というと範囲は広く、「会社のお金を使い込んだ」といった行為も「内部不正」なのですが、今回はセキュリティの話題となるのでもう少し内容を絞りたいと思います。昔から今に至るまでの事例として多いのは「会社の中の情報を持ち出し」した結果、「名簿業者などに売った」などいったものがあります。

 たとえば、かつてある有名なtoCサービス企業(以降A社とします)から大量の個人情報が持ち出されたという事件がありました。こちらは、コールセンターか何かの保守を担当する派遣のエンジニアが持ち出したということがわかっています。内部不正で時折発生する典型的なケースですが、この場合、 犯人が元々その情報にアクセスする正当な権限をもっているんですね。ですので対策が非常に難しいということになります。

 最近でもコールセンターから個人情報を大量に持ち出す不正の際に、USBメモリーを使って持ち出しをしたことが話題になる事件がありました。後になって、その会社から「USBメモリーを使うことを一切禁止する」というようなリリースもありましたね。そして、現状では本件に対する様々な反応があるところであります。

次のページ
大切にしたい「最小権限の原則」

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18871 2023/12/11 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング