ご存じの通り、ベネッセ事件では、業務委託されていたSEが事件を起こしたとして、業務委託の是非やIT業界の下請け構造に対する批判などが行われている。
一方で、これを機にUSB接続機器のセキュリティに対する見直しも活性化しはじめた。「単なる外部記憶媒体の制御では不足!」「デバイスとして無効化をしなければならない!」などという意見が声高に叫ばれるようになったのだ。
連日の報道や緊急セミナーの影響で、経営者たちも「ウチは大丈夫なのか?」と不安を募らせているところも少なくない。これを受け、内部情報漏えい対策を行わなければ、という機運が瞬間風速的に高まり、緊急セミナーが開かれ、私のような者が招聘されて講演をする…。
これまでにセキュリティ専門家が提唱している対策は、だいたい、以下の通りである。
・アクセス権限の細分化
・業務委託先の管理の強化
・外部記憶媒体の制限の強化
・ログの収集と監査
これらは理論的に正しい。正しいのだが、実際にやってみるとなると、そうは簡単にいかない。特にログの収集は大変な課題だ。実際に、DBへのアクセスのSQL文をすべて収集、というだけでも実装できない組織が多いだろう。というのも、秒間数千~数万のログを安定して収集し続けるシステムは、数億円に上ることもあるからだ。
ベネッセのセキュリティ対策は平均以上
さて、ベネッセ事件と同様の事件を想定して再発防止を検討するのであれば、ベネッセ事件の際に行われていたセキュリティ対策は「最低ライン」となるだろう。
ベネッセ事件後、私は、かなりの数のメディア取材を受けてきた。そのたびに、「セキュリティ対策は十分ではないものの、一定程度のレベルにはあったと思われる。むしろそのレベルにはない企業がとても多く、再発が予想される。」とコメントしては、記者たちにがっかりされてきたものだ。たぶん、取材側としては、「セキュリティ対策に重大な欠陥があった」というコメントを期待していたのだ。
たとえば、数ヶ月前のSQL文を含むログなどについては、調査ができた。また、すり抜けられたもののUSB外部記憶媒体の制限などの基本的な対策はとられていた。最近、大企業のシステム部門と意見交換する機会があったが、「あそこはそれなりだったよね」と話すくらい、ベネッセのセキュリティは「そこそこ」できていたほうなのだ。
