「本番データでシステム開発」に潜む個人情報漏洩の危険性

日本コンピュウェアは先日開催した「情報漏洩対策セミナー」において、重要な情報に触れる情報システム部門における情報漏洩対策の必要性を説いた。

» 2004年08月11日 20時25分 公開
[高橋睦美,ITmedia]

 来年4月に予定されている個人情報保護法の全面施行を前に、漏洩の防止策に取り組んでいる企業は多い。それも、外部の第三者による情報漏洩だけでなく、社員をはじめとする内部関係者や取引先を通じての漏洩に備えて手を打つことの重要性が指摘されるようになった。

 しかし、それだけではまだ不十分だとするのは日本コンピュウェアだ。同社は先日開催した「情報漏洩対策セミナー」において、重要な情報を格納するメインフレームと、その開発/運用に携わる情報システム部門における情報漏洩対策の必要性に言及した。

 「外部の脅威や内部流出への対策はできていたとしても、情報システム部門や委託先での対策となるとどうだろうか? 果たして、担当者のモラルに依存するという状態でいいのだろうか?」(同社)。

 その一例として挙げられたのが、システム開発/保守に利用されるテスト環境での情報漏洩対策である。本番環境や、そこで利用されるデータへのアクセスが厳しく制限されていても、テスト環境、テスト用データとなると、一段甘い取り扱いがなされているケースが多いのではないか、という指摘だ。

 「本来ならばテスト環境でも、セキュリティ上問題のあるデータを使用したり、運用者などに渡したりすべきではないし、そもそも存在させるべきではない。だが実際には、個人情報を含んだデータがそのまま利用されている」(同社)。

 その背景には、個人情報の安易な使用はよくないことだと分かっていながら、システムの開発生産性や品質向上といった事柄が優先される、という状況があるという。中には、発注元のほうが「本番環境と同じデータを用いてテストしてほしい」といった要求を出してくることもあるそうだ。

 個人情報をはじめとする重要なデータをテスト環境に「存在させず」、かつ開発生産性を可能な限り損なわないようにする方法として、同社は「データ加工ツールの利用」を挙げた。つまり、マスターデータの一部を特定の文字でマスキングしたり、データをランダムに入れ替えたり、またマスキングすると開発要件にそぐわない場合は特定の文字列で適当に置き換えを行う、といった加工を加えることで、テスト環境においても個人情報保護の徹底を図れるという。

 同社によると、情報の取り扱いに対する意識の高い企業の中には、自力でデータ加工ツールを開発したところもあったという。ただ、ツールの設計や保守などに時間がかかり、結果として開発全体に要する時間と工数が増えてなってしまうのが難点だった。日本コンピュウェアが提供する「File-AID/Data Solutions」は、その部分を補う製品だという。

 説明によるとFile-AID/Data Solutionsは、データの置き換え/マスキングのほか、暗号化などの機能を備えている。これを活用することで、「開発生産性を低下させることなく、アプリケーションのテストケースに合わせた形で個人情報保護を実現できる」(同社)。ひいては、開発担当者個々のモラルに頼るのではなく、組織としての個人情報保護のルールを徹底させることにつながるという。

 日本コンピュウェアではさらに、メインフレーム上の本番データを自由に取り扱うことができる「特権ユーザー」が、いつ、どのデータに対してどういった操作を行ったかを「監視カメラ」のように記録できる「QACenter」「File-AID/MVS」についても紹介した。

 この製品自体は暗号化や不正アクセスのブロックといった機能を提供するものではないが、「『監視』していることを公表することで、事件を未然に抑止するとともに、いざ何かが起こったときには記録を元に、早期の調査が行える」(同社)。既に講じているセキュリティ対策と組み合わせることにより、「カベをより高く、厚いものにできる」(同社)という。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ