SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

S&J三輪信雄のセキュリティ ニュースレター

“ログ取得・分析”という抑止力―ベネッセ事件に寄せて


 ベネッセの内部関係者による情報漏えい事件があってからあちらこちらで「緊急セミナー」が開催されるようになった。思い起こせば、個人情報保護法の施行前後でマスコミによる情報漏えい事件報道が相次ぎ、個人情報の保護の気運が高まった。それ以来のビッグウェーブが来ているようだ。情報性キュリティ関連銘柄の株価は軒並み上昇している。

 ご存じの通り、ベネッセ事件では、業務委託されていたSEが事件を起こしたとして、業務委託の是非やIT業界の下請け構造に対する批判などが行われている。

 一方で、これを機にUSB接続機器のセキュリティに対する見直しも活性化しはじめた。「単なる外部記憶媒体の制御では不足!」「デバイスとして無効化をしなければならない!」などという意見が声高に叫ばれるようになったのだ。

 連日の報道や緊急セミナーの影響で、経営者たちも「ウチは大丈夫なのか?」と不安を募らせているところも少なくない。これを受け、内部情報漏えい対策を行わなければ、という機運が瞬間風速的に高まり、緊急セミナーが開かれ、私のような者が招聘されて講演をする…。

 これまでにセキュリティ専門家が提唱している対策は、だいたい、以下の通りである。

 ・アクセス権限の細分化
 ・業務委託先の管理の強化
 ・外部記憶媒体の制限の強化
 ・ログの収集と監査

 これらは理論的に正しい。正しいのだが、実際にやってみるとなると、そうは簡単にいかない。特にログの収集は大変な課題だ。実際に、DBへのアクセスのSQL文をすべて収集、というだけでも実装できない組織が多いだろう。というのも、秒間数千~数万のログを安定して収集し続けるシステムは、数億円に上ることもあるからだ。

ベネッセのセキュリティ対策は平均以上

 さて、ベネッセ事件と同様の事件を想定して再発防止を検討するのであれば、ベネッセ事件の際に行われていたセキュリティ対策は「最低ライン」となるだろう。

 ベネッセ事件後、私は、かなりの数のメディア取材を受けてきた。そのたびに、「セキュリティ対策は十分ではないものの、一定程度のレベルにはあったと思われる。むしろそのレベルにはない企業がとても多く、再発が予想される。」とコメントしては、記者たちにがっかりされてきたものだ。たぶん、取材側としては、「セキュリティ対策に重大な欠陥があった」というコメントを期待していたのだ。

 たとえば、数ヶ月前のSQL文を含むログなどについては、調査ができた。また、すり抜けられたもののUSB外部記憶媒体の制限などの基本的な対策はとられていた。最近、大企業のシステム部門と意見交換する機会があったが、「あそこはそれなりだったよね」と話すくらい、ベネッセのセキュリティは「そこそこ」できていたほうなのだ。 

次のページ
「見つかると思っていなかった」を今後に生かす

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
S&J三輪信雄のセキュリティ ニュースレター連載記事一覧

もっと読む

この記事の著者

三輪 信雄(ミワ ノブオ)

日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6133 2014/09/09 17:48

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング