尼崎事件に見る情報漏えい対策の“いろはのい” 増えている流出ルートは?(3/3 ページ)
尼崎市のUSBメモリ紛失事件で、情報漏えいに再度注目が集まっている今、改めて情報漏えいが起きるルートをおさらいしておこう。情報漏えいには、電子機器の紛失、うっかりミス、退職者によるもの、不正アクセスなどさまざまなルートがある。
アクセス権の管理は“いろはのい”
21年には、LINEではアクセス権の設定が不適切だった結果、業務委託先の中国企業がLINEユーザーの個人情報にアクセスできる状態になっており、大きな問題になった。
<関連記事:LINEの個人情報、中国の開発委託先から閲覧可能に 「説明不足だった」と謝罪>
「当たり前すぎて周知される機会が少ない気もしますが、一般論として、アクセス権の管理は“いろはのい”で、何回強調しても強調しすぎということはないです」(佐川さん)
情報管理の基本方針は、アクセス許可の範囲を最小限にすることだ。本当に見る必要がある人だけに閲覧の権利を与える。これは不正アクセスによる情報漏えいの対策にもなる。
攻撃者が社内システムに不正アクセスした際に、機密情報が誰でも見られる場所に置いてあると、簡単に盗まれてしまう。公開範囲を狭めることで、攻撃者に閲覧の権利を取得する手間が増え、漏えいリスクを下げられる。
従業員の監視は、疑うのではなく守るためにやること
このように、情報漏えいと一口に言っても、そのルートはさまざま。そして、実際に何か起きてしまった際に行われるのが「フォレンジック調査」だ。
フォレンジック調査は、端的に言えば鑑識のこと。事件当時のシステムはどういう状況にあったのか、関係者はどのような行動をとっていたのか、現場では何が起きていったのか──そういった事件の詳細を調べるのが目的だ。
調査には「ログデータ」が必要になる。PCなどに保存された行動履歴を洗い出して調べる。しかし、中小企業の中にはログの取得を隠してしまう企業もあるという。
「非常に小規模な企業では、従業員は身内だから疑うのはよくないという意識が働いて、(ログの取得を)やっていたとしても言わないということがありますが、それは違います」(佐川さん)
鑑識をするうえで、証拠が出なければ疑いの晴らしようもなく、ずっと疑い続けないといけない。ログを取っていることを伝えることで、心理的な抑止効果も発揮するため、隠さず伝えるのがいいという。
「従業員を疑っているのではなく、守るためにやっているんだということを経営者が伝えるのが重要です」(佐川さん)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
今度はSDカード紛失、大阪府門真市 データはほぼ消去済み
大阪府門真市は、マイナンバーカード申請サポート会場で、市民1人の顔写真が記録されたSDカードを紛失したと報告した。SDカード内のデータは1度撮影するごとに毎回消去しており、他の市民の画像は入っていないという。
デジタル庁がメール誤配信 CC・BCC設定ミスで約400件のアドレスが公開状態に
デジタル庁が報道関係者へのメールを配信する際に、宛先の設定ミスにより約400件のメールアドレスが流出したことを明らかにした。
楽天モバイル、ソフトバンクによる提訴に争う姿勢
楽天モバイルは、ソフトバンクによる損害賠償請求訴訟を受け、争う方針を示した。
ソフトバンク元社員を逮捕 機密情報2点を無断で持ち出し
ソフトバンクは、同社元社員・荒木豊容疑者が不正競争防止法違反の疑いで逮捕されたと発表した。荒木容疑者は機密情報2点を無断で持ち出したとされる。
LINEの個人情報、中国の開発委託先から閲覧可能に 「説明不足だった」と謝罪
LINEは、メッセージアプリ「LINE」を日本で使う人の個人情報などが、アプリのシステム開発を委託していた中国企業からアクセスできる状態だったと明らかにした。既に閲覧できないように対策済み。