止まらない情報漏洩事件から対応策を考える
守るべき情報自体に、保護対策がされていない
連日報じられる企業の情報漏洩事件。国内大手企業の顧客情報漏洩、不正アクセスによる米政府機関の個人情報漏洩等が、新聞を賑わせました。なぜ、どこから、こんなに大量の顧客情報が持ち出されてしまったのでしょうか?
ほとんどの情報漏洩事件では、セキュリティ対策をネットワークや物理的な環境に施していました。
- 対策例
-
- 会計/財務システム(データベース)へのアクセスコントロール不備
- システムルームへの入退室をICカードで管理
- 外部インターネットへの接続をさせない
- IPアドレスおよびMACアドレスで認証することで限定
- 操作できる社員などについてもIDとパスワードで管理
「内部関係者による不正行為を阻止するには、どうするか」が大きな課題
情報漏洩事件の80%は、内部犯行と言われています。 情報流出経路は、CD−RとUSBメモリー等で社外に情報を持ち出す前に、データベースへアクセスし情報を取得するケースがほとんどです。 内部犯行を含め最も有効な情報漏洩対策の1つは、データベースを守ることです。 機密情報を管理するデータベースへのアクセスを記録し、監視し、分析し、内部からセキュリティを高めることが重要なのです。
- リアルタイムに監視
- アクセス権限の有る無しを問わず、データベースへの不正もしくは不注意なアクセスに対しては、瞬時に警告できるように、すべてのアクセスを監視する
- デジタルフォレンジック分析
- データへのアクセスを記録し、蓄積したアクセスログ(SQL文や取得行など含む詳細なログ)を時効期間より長く保存する
- 莫大な数年間にも及ぶアクセスログを分析し、証拠となる行動を見つけ出す
ただし、注意すべき点もある
- セキュリティ対策のために、業務に影響を及ぼすような本末転倒にならないこと
- 通常のシステムが運用されている時間帯だけの監視では不十分だと認識を持つこと
(システムのカットオーバー前の開発時やテスト時、またメンテナンス時などの際に、内部者なら容易にアクセスが可能のため)
個人情報保護法対策:PISOによる「安全管理措置」
個人情報保護法に対応して各省庁からはその業界における個人情報保護に対するガイドラインが作成されています。 例えば、経済産業省の「経済産業分野を対象とするガイドライン」や 金融庁の「金融分野における個人情報保護に関するガイドライン」では「安全管理措置(法第20条及び基本方針関連)」として、下記の項目が明記されています。
- 法第20条
-
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止
その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- 個人データへのアクセスの記録、分析
- 個人データへのアクセス権限の管理
- 個人データへのアクセス制御
| 1 | 個人データへの全てのアクセスを |  |
記録 |
| 2 | 不正・不注意なアクセスに対して、リアルタイムに | |
警告 |
| 3 | 証拠となる行動を見つけ出すデジタル・フォレンジック | |
分析 |