事件は存亡に関わる問題 根本から見直したソフトバンクBBの事例に学ぶ(1/2 ページ)

451万件の顧客情報流出――。2004年3月に報道されたソフトバンクBBの事件は、同社に大きなダメージを与えた。しかし、その後対策を進め、「情報セキュリティの最も進んだ企業になった」と自負するまでになった。

» 2005年01月20日 00時00分 公開
[堀哲也ITmedia]

会社データ

名称 ソフトバンクBB株式会社
代表者 代表取締役社長兼CEO 孫正義
事業内容 「Yahoo! BB」を中核としたブロードバンドインフラサービスの提供。技術開発、営業、販売、サポートまでを一貫して行なう。またIT関連の流通事業とサービスを提供し、ブロードバンドやイーコマースの関連事業会社を統括、管理する
資本金 1480億円
URL http://www.softbankbb.co.jp/

 「外部記憶メモリが接続されました」――。電子表示板にその端末のIPアドレスやMACアドレスが表示される。スタッフが緊張する瞬間だ。ソフトバンクBBのセキュリティオペレーションセンター(SOC)は24時間体制で、社内のクライアントからサーバまですべてのシステムを監視している。危険な動きをリアルタイムで察知する、いわば同社の情報セキュリティ中枢である。

SOC 厳重な入退室管理を行った先にあるSOC。ソフトバンクBBで利用されるPCはここの監視下にある

 ソフトバンクBBは2004年3月、顧客の個人情報が漏洩したとして報道された。1月に同社の顧客情報を人質にして、恐喝を受けていたことが公に知らされることになったのだ。451万人ともいえる大規模漏洩事件ともあり、影響は大きかった。ソフトバンクBBが事件後に行った対策の象徴が、社内に設置したこのSOCといえる。

 SOCに入るには、社員証を利用したカード認証、監視カメラ、警備員、そして金属探知用のゲートを抜けなければならない。男性であれば上着を脱いでから入る必要があるため、入り口の脇には電子錠が付けられたロッカールームも用意されている。この先には、同社が「レベル4」「レベル3」と呼ぶ高セキュリティエリア、顧客情報を扱えるPCが設置されている。

 一般社員の業務エリアは、それよりも低いレベル2と位置づけられており、顧客情報には一切アクセスすることはできない。必要に応じて申請を出し、SOC内の監視カメラの下で顧客情報を扱う必要がある。

 行った対策は、総額で数十億円ともいわれる膨大な予算をつぎ込んでのもの。各社がすぐに真似をできるようなものではない。しかし、一歩進んだ情報漏洩の対策事例として、ソフトバンクBBから学ぶべきものは多い。

従来のやり方では改善できない

 「事件は大きかった」。事故を受けて個人情報保護対策の責任者としてCISO(情報セキュリティ最高責任者)に就任した阿多親市常務は振り返る。「社の存亡に関わる事態だった。従来のやり方で改善ができるとは到底思えなかった。根本から見直しを行わせてもらう。そんなやり方を取らざるを得なかった」と続ける。

阿多親市氏 事件後、CISOの任務に就いた阿多氏。「CISOという役割は企業の情報システム依存が高まる中で必要とされてきている」

 同社にとっては、図らずも事件が個人情報保護のドライブ要因となってしまったわけだが、事故に学んだ結果、現在のSOCに代表される徹底した対策が行われた。それほど顧客情報の漏洩はインパクトが大きい。

 対策は、ドラスティックだった。しかし、一夜にしてガラリと変わったわけではない。そう阿多氏は指摘する。まずできるところからスタートした。

 「何年もかけて作ってきた業務システムや、プロセスをすぐに変えることはできない。もちろんシステムが翌日から突然セキュアになるわけもない。すぐに変えても問題がないのは、個人情報に対するアクセス権、これを徹底的に整理することから始めた」

 事故の発覚直後、顧客データベースへ接続できるアクセス権を発行する人間を3名に集約。当初は紙ベースの稟議書で、短期的なIDとパスワードを申請しなければ、顧客情報を扱えないような緊急対策を施した。

 「これでは不便なのは明らか。業務に大きな支障が出たのも事実。しかし、やむを得ない。これができなければ、いくら売り上げを上げたとしても会社の存亡の問題なのだから」

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.