結局は人の管理・監視が必要/ベネッセ顧客情報流出事件
ベネッセの顧客情報流出事件。
判明しているだけで約760万件の顧客情報が漏えいし、企業が対象ユーザーに対して用意する金額が200億円。
私の記憶の中にある顧客情報流出事件では、10年前のYahooBBのそれが最も大きかった(流出件数450万件、被害額100億円)が、今回はそれを大きく上回る。
日本国内で最大の事件と言ってもいい。
Yahoo BBとライブドアの粉飾決算事件以降、データの流出や改ざんなどの防止が必須となり、その後日本版SOX法が施行され、数多くのデータセキュリティのソリューションが各SIerからリリースされた。
私もその1つを販売する営業マンだった。
データベースのアクセスログを取得するシステム、ネットワークのSQL文をすべてキャプチャするシステム、それらのログの解析システム、
いずれも何千万円もするシステムだが、今回の被害額を見れば、それらがいかに安いものであるかは誰でも直感でわかる。
が、事件が起こって初めて、これらシステムが安いと気づく。
特に最近、IT業界では「内部統制」や「コンプライアンス」が死語になりつつあったため、J-SOXが施工される前の一時に比べればデータセキュリティの製品数も少なくなり、それらの重要性を前面に出すSIerも減った。
しかしそれらは、やって当然の対策であり、今回ベネッセがこんなに早く原因究明にたどり着けたのも(私はかなり早い対応だったと思う)、こういった仕組みを導入していたからであろう。
ただし、どんなソリューションをもってしても、今回のように、悪意を持った内部のシステム管理者を監視することは非常に困難、というより、ほぼ不可能である。(つまりはデータに社内の誰よりも近い、データを守るべき人間が流出させたのだから)
システム管理者からすれば、データを持ち出す方法はいくらでもある。それをシステムに防がせようとするのは間違いである。それを防ぐには、管理者を管理・監視する仕組みを導入するしかない。
今、改めて内部統制を見直すタイミングであろう。
日本はまだまだ情報システム部門の持つ権限が弱い企業が多く、どうしても現場主導になりがちである。少なくとも情報システムの長は経営層にいなければならない。
そして個人情報を多く(基準は5千件以上)扱う企業は、データの所在を限定し、それにアクセス可能な管理者を限定する。当然、DB監視ソリューションなどの導入は必須である。
データセンターの入退室管理はより徹底的にやるしかない。ボディチェックも必要。意外と容易にUSBメモリを持ち込めるデータセンターは多い。
私が行ったことのあるデータセンターで最もセキュリティが高そうだったのは、野村総合研究所の横浜データセンター(http://itsm.nri.co.jp/datacenter/outline.html)。空港のセキュリティチェックさながらの設備が整っていて、警備も何重にも敷かれていた。
だが、サーバーがネットワークにつながっている以上、管理者にすればこれをすり抜けることも容易いはずだ。
管理者が情報を流出させたい理由は、金目当てか企業への怨恨であろう。今回も、金に困って名簿を業者に数百万円で売ったとのこと。
今回ベネッセが犯した罪は、プロパーではない派遣会社のそんな人間に管理者をさせていたところだと言える。つまりはシステムに金をかけても人に金をかけなかった、ということだ。
私もDB監視ソリューションを販売していた一人だったので、人の管理がいかに難しいかはわかる。ただここに投資をしない限り、この先いくらでも同様の事件は発生しうるのである。
