内部関係者による情報漏えいを繰り返さないためにできること:IPAがガイドラインを示し、対策の見直し呼び掛け
ベネッセコーポレーションでの顧客情報漏えい事件を受け、情報処理推進機構(IPA)は2014年7月10日、内部関係者の不正による情報漏えいを防止するため、あらためてセキュリティ対策を見直すよう呼び掛けた。
通信教育サービス大手のベネッセコーポレーションで顧客情報が大量に流出した事件を受け、情報処理推進機構(IPA)は2014年7月10日、内部関係者の不正による情報漏えいを防止するため、あらためてセキュリティ対策を見直すよう呼び掛けた。
この事件では、ベネッセコーポレーションの通信教育サービスを利用している顧客の氏名や住所、電話番号などの個人情報、約760万件が流出した。同社の発表によると、原因は外部からの不正アクセスではなく、同社グループ社員ではないがデータベースにアクセスできる権限を持つ内部者によるもので、最大で約2070万件の顧客情報が流出した恐れがある。
金銭などを目的に、従業員や委託先の社員など、権限を持った内部関係者が顧客データベースにアクセスして不正に情報を取得し、流出させた事件は、2004年の「Yahoo! BB」における漏えい事件をはじめ、過去にもたびたび発生してきた。
こうした過去の事件を踏まえ、IPAでは「組織における内部不正防止ガイドライン」を、また日本ネットワークセキュリティ協会(JNSA)では「内部不正対策ソリューションガイド」をまとめ、内部関係者による不正防止に向けた対策を呼び掛けてきた。今回の事件で、あらためてその重要性が浮かび上がった格好だ。
IPAでは、顧客情報など、特に重要な情報が保管されているファイルやデータベースについては、
- それが重要な情報であることを明確にし、「アクセス権限を持つ操作員を最小限に留める」「退職者など、アクセス権限保持者に異動があった場合には速やかにそのIDとアクセス権を削除する」など、適切なアクセス制御を実施する
- ノートPCやUSBメモリ、スマートデバイスなど、持ち運び可能な媒体の利用を制限、監視する(関連記事)
- 重要情報へのアクセス履歴や利用者の操作履歴などのログを記録し、定期的に監査する(関連記事)
という対策によって、漏えいリスクを減らすべきだと呼び掛けている。
なお、IPAの組織における内部不正防止ガイドラインでは、技術的な側面だけでなく、人的管理、物理的管理など10の観点から30の対策項目を、自社の対策状況を確認できるチェックシートと共に示している。またJNSAの内部不正対策ソリューションガイドには、各対策に必要な製品やソリューションがまとめられている。
Copyright © ITmedia, Inc. All Rights Reserved.