きれいな言葉でまとめた「やったつもりのセキュリティ」が一番怖い:半径300メートルのIT(1/2 ページ)
「セキュリティポリシー」や「プライバシーポリシー」をWebサイトに公開する企業は多いのですが、それを作ったことで安心しきっていませんか?
日本年金機構による個人情報の流出発覚から2週間が経過しました。「一時的に」閉鎖されていたWebサイトも暫定復旧したものの筆者が一番知りたい漏えいの経緯といった続報はいまだ出てきません。
「基礎年金番号」「名前」「生年月日」「住所」の4情報が漏えいした約9000人に対して、「お詫びとお願い」の文書を送付しているそうですが、事故に便乗して個人情報を盗み出そうとする輩もうごめいているようです。基礎年金番号に関係する問い合わせや営業などの電話がかかってきても冷静に対応してください。
不安を感じた2つの「宣言」
事故を公開した当初、日本年金機構のWebサイトにはさまざまなコンテンツが掲載されていました。その中で筆者が不安に思ったページが2つあります。
1つは、「個人情報の漏えいが心配ですが」というタイトルのFAQページ。ここでは、年金の取り扱い業務を委託する外部業者の選定について、「全省庁統一資格」や「プライバシーマーク」「ISO27001:2005/JISQ27001:2006」を取得していることが条件だとアピールしていました。
もう1つは、トップページの目立つ場所からリンクされていた「お客様へのお約束10か条」。日本年金機構が国民に対して約束した10カ条が掲載されていました。
いまとなっては空虚な印象しかない2つの「宣言」。世間からは容赦なく攻撃されることでしょう。ただ、筆者はこれを他山の石として自社のセキュリティポリシーを見直す機会にすべきだとも考えています。
「やったつもりのセキュリティ」になっていませんか?
こういった宣言を社訓や社是としてWebサイト上で公開している企業は多いと思います。公開していないとしてもほとんどの企業が社歴の長さに関係なく持っているはず。なぜならば経営者がその熱い思いを従業員に伝え、共有するための指針は絶対に必要だからです。
社訓や社是を否定するつもりはありません。ただし、事業が回り始めて人が増えてくると、社訓や社是が単なるきれいな言葉でしかなくなるタイミングがあると思います。日本年金機構のWebサイトを見たとき、そんな印象を持ちました。
関連記事
- 今どきの攻撃者は“怪しい”添付ファイルなんて送ってこない
年金機構で発生した大規模個人情報流出事件。あまりにもずさんな管理体制にあきれている読者も多いハズ。ところで、自社には関係ない話だと思っていませんか? - 情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。 - いつの間にかやられている「やり取り型」攻撃って知ってる?
今さら「オレオレ詐欺」に引っ掛かる人はいないよね――。そんな油断を突いて攻撃者はさまざまな“情シス助けて詐欺”を仕掛けてきます。 - 「DDoS攻撃、800円でやってあげる」が成り立つワケ
昨年、高校生がオンラインゲームのサーバにDDoS攻撃を仕掛けたとして書類送検されました。ちょっと調べてみると簡単に”サイバー攻撃サービス”が見つかります。
Copyright © ITmedia, Inc. All Rights Reserved.