ベネッセの情報漏えい事件を分析 問題点と今後の可能性とは何か萩原栄幸の情報セキュリティ相談室(1/3 ページ)

ベネッセコーポレーションから大量の個人情報が漏えいした背景や問題点は何か? 今後はどうなるのか? 情報セキュリティと内部不正の専門家である萩原栄幸氏が検証する。

» 2014年07月18日 07時00分 公開
[萩原栄幸,ITmedia]

 ベネッセから確定したものだけで760万人分、最大では2070万人分(可能性)もの大量の個人情報が漏えいする事件が発生した。事件の概要は有り余る程の情報が報道されているので本稿では割愛するが、次の切り口から分析してみたい。

  1. ベネッセの問題点(どうすべきだったか?)
  2. 法律上の問題点
  3. ベネッセの対応ついて、評価できること、まずかったこと
  4. 今後の可能性

ベネッセの問題点(どうすべきだったか?)

 簡単なことである。まず外部から攻撃の場合、基本的にはその保護されているシステムそのものの脆弱性を突いて内部への侵入を図る(例外もあるが)。パスワードなどを奪取する場合でも、その奪取するきっかけは脆弱性を突いた犯行が多い。

 しかし、組織内部の場合はシステムそのものにアタックするのではなく、「正当なID+正当なパスワードでの侵入(なりすまし)」もしくは「正当なID+正当なパスワード+正当な権限者(内部犯罪)」が圧倒的に多い。

 本件では外注先業者に派遣されていたシステムエンジニアがUSBメモリにデータをコピーしていたという。本連載で何度も解説しているが、脆弱なシステムの多くでは一度内部に入り込んだIDの挙動は“フリーパス”である。様々な情報によれば、同社では外部からの攻撃に対しては相応のガードを実施していた。しかし、内部犯罪の発見、防止という意味ではほとんど役に立っていなかった。

 なぜ内部犯罪を軽視、無視するのだろうか。筆者は30年も様々な内部犯罪に対して警鐘を鳴らしてきた。事件数でみると、実は外部犯罪などよりも内部犯罪の方が多い。もちろん企業や業種業態によって異なるが、筆者の実感として内部犯罪と外部犯罪の比率は、7:3とか8:2ということになる。

 誤解されないようにお伝えするなら、世間の情報はほとんど実際の数値を反映していないといえる。内部犯罪の多くはそのまま隠ぺいされ、握りつぶされる場合が圧倒的に多い。これはある程度やむを得ないかもしれない。専門家として筆者が「公開すべき」と経営陣に伝えても、聞く耳を持ってくれない企業が多い。

 今回、茂木敏充経済産業大臣は7月17日に報告に訪れたベネッセホールディングスの原田泳幸代表取締役会長兼社長に、「半年に渡ってその事実を認識できなかったのは遺憾」と述べているが、これは相当に“甘い”発言である。

 なぜなら、発覚した経緯がベネッセ自身の発見という場合ならこの発言は理解できるものの、今回は顧客からの問い合わせで発覚している。つまり極論すると、顧客が気付かなければ、永久的に分からないままになっていた可能性がある。この部分だけでも筆者としては突っ込みどころが満載だと思う。

 まず、アクセスコントロールの細分化が全くなされていない。All or Nothingで、一度正当な権限者だと入口で認定されると、まるで遊園地の「乗り放題パスポート」のように、システム内で何でもOKのパスポートが渡されてしまう。本件ではこのオールマイティなパスポートがシステムへの入室を許可された全員に配られていたと想定されるのだ。

 正当な権限者であっても、なぜ管理者と派遣SEのアクセス権に相当な差をつけていなかったのか。派遣SEがこのシステムに入室する場合の行動分析から、「ここまでは許容」「これはダメ」というコントロールをきめ細かに設定すれば、防御できたはずだ(例えば、派遣社員は外部へのデータコピーを認めない、など)。

 次に、「半年に渡ってその事実を認識できなかった」との発言にもある通り、平時からログの分析が行われていなかったと想定される。リアルタイム分析による監視はもちろん、最も許されないことは日次とか1週間ごとといった事後分析も行っていないと思われる点だ。

 筆者はよく中小企業の社長と論争するが、「監督官庁がうるさいから、一応ログを採っているし、10年間は保存している」という社長が多い。これに対して筆者は、「それでは監視カメラで金庫から貴重品が盗まれているという事実を録画しながら、その分析をせず、録画した映像を10年間保存しているのと同じ」と話している。

 これでは意味が無い。ログは分析してこそ意味があるのだが、上場企業の同社でこういうシステム形態がまかり通るとは、いったい何をしていたのだろうか……。

 また、逮捕された外注先業者の派遣SEの立場が不明確であった点もうかがえる。大手企業では難しい作業の一つに、「下請けの下請け業者の従業員まで監視ができるのか」というのがある。外部委託する際、本来は契約書自体を法律に則り、弁護士が精査している。だがその契約書と実態、特に監視する側の意識が追い付いていない場合が多々ある。

 法的にみて元請けの責任は大きい。問題を起こしたのが何次請先だろうと、元請けの責任の大きさは変わらない。そういう業界構造自体が法律的にも問題ではあるが、現実的には元請けとして責任を回避できないと腹をくくり、真剣にその状況を分析する。システム上の穴があるなら、その穴を(1)認識、(2)分析、(3)穴の修復もしくは代替策の検討・実施、(4)監視――する。元請けからみて、派遣SEは外部の人間に類似しているが、実態は100%内部の人間だ。きめ細かな監視が必要であり、無視・野放しは責任放棄と同じだ。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ