内部不正を防ぐ委託先管理と物理セキュリティ：セキュリティ強化塾（2/5 ページ）

[キーマンズネット]

大規模情報漏えい事件で問題だったのはどこなのか？

　上述の事件はほとんどの組織のIT部門の不安をかき立てたはずだ。なぜなら、B社が一般的な企業の平均的水準を上回るような情報セキュリティ対策をとっていたと思われるからだ。

　例えば、外部からの不正アクセスによる情報漏えいの可能性を早期から除外できていた（7月9日時点で異常がないことを確認済み）ことは、不正アクセス対策が周到にとられていたことを推測させる。また、事件発覚から間もなく内部犯行であることが突き止められ、約1週間でMの逮捕に至ったスピードは、システムのログが適切に取得されていたことをうかがわせる。

　実際、B社は適切な個人情報保護体制を備えることを認証するPマークを取得しており、システム運用委託先のS社はISMS（情報セキュリティ管理システム）認証業者だった。また、当該システムはセキュリティ専門会社による24時間の不正アクセス監視サービスを利用していた。

　それでも内部不正が重大事件を引き起こしたのだ。セキュリティ対策と運用に心をくだくITスタッフと管理者が無力感を感じるのは無理もない。しかし、実際にはB社の対策も盤石なものではなかった。対策の詳細は公表されていないので以下は推測にすぎないが、事件を未然に防ぐ手だてはあったと思われる。主な問題点として次の3つが指摘できよう。

USBマスストレージの使用は禁止してもスマートフォン接続は対象外だった？

　まず挙げられるのは、Mの私物スマートフォンが業務用PCに接続でき、データのコピーが行えたことだ。恐らくUSBマスストレージへのデータコピーを禁止する施策はとっていたと思われるが、それとは別のプロトコル（MTP）を使うスマートフォンのデータ転送には対応していなかったのではないかという推測だ。

　最新IT資産管理ツールなどでは既に標準対応したものが多いが、従来、想定されなかった方法なので死角になった可能性がある。これに心当たりがあるセキュリティ担当者は多いのではないか。

ログを取得していても適時の分析、監査が行われていなかった？

　根本的な問題として挙げられるのは、別の会社からのダイレクトメールが送られてきた顧客からの問合せがなければ、B社自身では情報漏えいに気付けなかったことだ。

　システムのログは収集しても、それをリアルタイムあるいは高頻度に監査する機能がなかった、または運用が適切にできていなかったことが推察される。監査されていても、正当な管理者による権限内のアクセスに対して、業務目的外のアクセスであるか否かを詳細に分析できる手法が普段は組み込まれていなかったのかもしれない。

　Mが情報持ち出しを始めたのは2013年7月とされ、翌月には売却を始めている。この時点で不正行為が発見できれば、これほどの大規模漏えいには発展しなかった可能性が高い。

アクセス権は本当に必要な範囲だけに限定されていたか？

　さらに、アクセス権の付与範囲が最小化されていなかったことも推測できる。SEが複写したデータにはB社の26の商品、サービスの顧客情報が含まれていた。全サービスの顧客データベース、あるいはそれらが統合されたデータベース全体に、1人の管理者がアクセス権限を持っていたことが被害を大きくした一因と考えられる。

　また、業務用PCが果たして担当業務に必要な時だけDBに接続できるような管理体制ができていたかどうかも疑問だ。申請、承認というワークフローを経ずに、常時アクセス可能な状態であったとしたら、リスクの高い運用法だと言わざるを得ない。

　今回の事件は、多重化されたセキュリティ対策だけでは十分ではなく、適切なセキュリティ運用とコンプライアンス管理がなければ、リスクが軽減できないことを如実に示した。では、どうすれば内部不正を未然に防ぐことができるのだろうか。100％の予防は無理でもリスクを低減するためにとるべき方策について次に考えてみよう。