マカフィーが先日発表した「国内セキュリティ事件トップ10」でもトップになったように、(今のところ)2014年で最も認知度が高いセキュリティ事件はベネッセの顧客情報流出事件だろう。
本件がほかの情報漏えい関連の事件と異なるのはその被害規模だ。約3504万件という漏えい情報は、個人だけでなく“世帯”という意味でも捉えられるからで、子どもだけでなく保護者の情報も含まれる。これによって、被害規模がさらに広がったところが特殊な点だという。
逆に言えば、それ以外の点は基本的に一般的な情報漏えいの事件と変わらないと辻氏は強調する。「犯人が委託社員である点や、借金を抱えていたことなど事件の表層や犯人像だけを見て、対策について言及する人もいる。しかし、結局は情報へのアクセス権があって、証拠をもみ消せる人間が犯行に及んだという基本的な点は他と変わりはない。たまたまシステム制御の“穴”に気付いて、魔が差してしまったというだけです」
今回は充電のためにスマートフォンを接続したところ、スマートフォンがストレージデバイスとして認識され、データ移行が可能になってしまった点が犯行への決定打となった。しかし、もちろんベネッセ側も情報漏えい対策を何もしていなかったわけではない。24時間体制のセキュリティ監視、書き込み禁止のデバイス制御環境、担当者の私物検査や持ち込み制限といった施策を行っていた。
辻氏は「ここまでちゃんと対策をしている企業はそんなにない」とした上で「ベネッセを擁護するわけではないが、ベネッセに石を投げるような批判をするのであれば、ここまでやってからではないかと思うことはある」と言う。では、ベネッセの対策のどこに落ち度があったのか。辻氏は次の2点に絞られると述べた。
後者は、スマートフォンやタブレット端末、デジタルカメラ接続時のデータ転送で使う機能。USB接続するだけストレージデバイスとして認識する。個人用途では便利だが、法人環境においては別。このプロトコルの接続制限が機能していなかった。同社のデバイス管理ソフトにはこの機能があったものの、ベネッセがこの機能を有効にするためのアップデートを適用していなかったなど、運用体制が十分でなかったことが原因という。
「リスクをなくせない以上、トラブルが起きたときを想定して対応を考える必要がある。この事件で大きな課題として挙げられるのは、アラートなど情報漏えいを自分たちで気付く手段が機能しなかったこと。ネット上で話題になってから調査を始めたこともあって、被害が大きくなってしまった」(辻氏)
とはいえ、アクセスログをすべて解析するといった手段はコストも時間もかかって非効率かつ非現実的だ。セキュリティリスクもゼロにはできない以上、「リスクとうまく付き合っていくしかない」と辻氏は語る。そのためには、守備範囲の見直しと犯罪の抑止効果をうまく使うべきだという。
Copyright © ITmedia, Inc. All Rights Reserved.