Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第14回 ITユーザが情報漏えいに備えてやっておくべきこと(前編)

2015/06/18 06:00

 日本年金機構から125万件の個人情報流出、東京商工会議所から最大12000件の会員情報流出と、ここのところ情報セキュリティに関する大きな事件が続いています。言うまでもなく、個人に係る情報が流出してしまうと、その企業や組織は、多額の慰謝料や損害賠償金を払わなければならないだけでなく、社会的な信用を失い、経営的にも大きな打撃を受けることにもなりかねません。読者の皆様の中にも自分の会社は大丈夫だろうかと気を揉んでいる方や上司から自社のセキュリティ対策を検討しろと言われて頭を悩ませている方もいるかもしれませんね。

どこまで努力をしても100%の防御はできない

 ただ、残念ながら、現在のところ、こうした情報流出をはじめとするセキュリティ侵害を完全になくす手立てはありません。もちろん、各セキュリティ専門会社やネットワークサービスに関わるプロバイダ、ITベンダ等は、日々、セキュリティ技術を研究してさまざまな製品やサービスを展開していますが、攻撃側の技術も、やはり日進月歩であり、このあたりの攻防は、イタチごっこの感が否めませんね。また、いくら高度なセキュリティを施していても、上述した事件のように、職員が、うっかりメールを開いてしまったためというような事件は、人間が仕事をする以上、どうしても避けられないことかもしれません。

 どこまで努力をしても100%の防御はできない。残念ながら、これが現代のネット社会の姿です。(誤解のないように、申し上げておきますが、私は、最新のセキュリティ技術をむだだと言っているわけではありません。このことは、本論でも次回に述べたいと思いますが、最新のセキュリティ技術について、常に学び、必要に応じて導入していくことが、情報を預かる企業や組織にとって、むしろ義務と言ってもいいくらいであるということは、裁判所の判決からも透けて見えます。)

常識的な対策をしていれば被害者、していなければ加害者

 こうなってくると、次に問題なのは、情報を流出させてしまったユーザの責任です。たとえば、質屋に泥棒が入って、お客さんから預かった質草を盗まれてしまったとします。この場合、質屋は被害者です。世の中の糾弾の矛先は、泥棒に向くことでしょう。ところが、もし、この質屋が、ドアやショーケースに鍵をかけるのを忘れていたとなったらどうでしょうか。質屋の立場は、一気に加害者に寄ることになるでしょう。常識的に見て、なすべき防御策をやっていれば被害者、やっていなければ加害者というわけです。情報を預かる身である企業や組織は、少なくとも自分が加害者にならないために、どんなことを心がけ、どんなことをするべきなのでしょうか。今回と次回は、このあたりについて、あるクレジットカードの情報流出を巡る裁判を例に考えてみたいと思います。まずは、事件の概要からご覧ください。

  <<個人情報漏えいの責任が争われた裁判の例>>

 (東京地方裁判所 平成26年1月23日判決より抜粋・要約)

 あるユーザ企業がベンダにクレジットカード決済機能を持つWEB受注システムの開発を依頼した。ベンダはこれを完成させシステムは本稼働したが、その後も、ユーザとベンダは毎年、このシステムの更新を行っていた。

 このシステムで使用するデータは、第三者であるレンタルサーバ業者の運営するサーバ上に保存されており、その中には顧客のクレジットカード情報(カード会社名,カード番号,有効期限,名義人,支払回数及びセキュリティコード)が含まれていたが、これらは暗号化されていなかったところ、SQLインジェクションによる攻撃を受け、クレジットカード情報、約6800件が流出した可能性がある。

 「SQLインジェクション」 という言葉が、耳慣れない方もいらっしゃるかもしれませんが、要は、インターネット上の操作者が、直接企業の内部データベースを操作して情報を盗んだり、改ざんしたり、あるいは破壊できてしまう攻撃手法です。これに対する防御法は、すでに、ある程度確立されていて、プロのベンダであれば、こうした攻撃を受けないようなプログラミングをきちんと行っているべきだったのですが、どうも、このベンダは、そこのところができていなかったようです。プロとしては、かなり初歩的なミスと言ってよいでしょう。

 また、クレジットカード情報を暗号化していなかったという点も、あまりに脇が甘かったと言わざるを得ません。”鍵をかけなかった質屋” と言われても仕方がないかもしれません。結果的には、こうした甘さが災いし、ユーザは多大な損失を被ることになりました。

 対策に抜けがあったベンダと提案を無視したユーザ

 こうなると、こんな脆弱なシステムを運営することになったのは、ユーザとベンダのどちらに責任があるのか、ということになります。裁判では、双方が以下のように相手の責任を糾弾しました。

 <<ベンダの債務不履行を訴えるユーザの主張>>

 東京地方裁判所 平成26年1月23日判決より抜粋・要約)

  •  ベンダは、適切なセキュリティ対策が採られたアプリケーションを提供しなかった
  •  ベンダは、ネットワークやサーバのセキュリティ対策を講じなかった
  •  ベンダは、カード情報を暗号化しなかった 他

 ユーザの主張は他にもありますが、今回の話題に関連するところはこんなところでしょう。一方ベンダは、ユーザの非を以下のように主張しました。

 <<ユーザが提案を退けたとするベンダの主張>>

 (東京地方裁判所 平成26年1月23日判決より抜粋・要約)

  •  ユーザは、クレジットカード情報を当該サーバ上のデータベースに置くべきではないとするベンダの提案を無視した。

 ユーザの主張に比べると、ベンダの主張はシンプルですが、情報漏えいを防ぐために、もっとも効果的な手法ではあります。この提案を受けてユーザが対策を打っていれば、確かに情報漏えいは避けられたかもしれません。脇が甘かったベンダのプログラムと、理由はわかりませんが、ベンダの提案を無視したユーザ、この情報漏えいは、その両方の合わせ技で起きてしまったことなのかも知れません。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 細川義洋(ホソカワヨシヒロ)

    ITプロセスコンサルタント 東京地方裁判所 民事調停委員 IT専門委員 1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年...

バックナンバー

連載:紛争事例に学ぶ、ITユーザの心得

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5