ベネッセ情報漏えい問題は「イージー&プアー」な取り組み姿勢が原因?
タイトルと中身が一致しない記事だ。文字数の割りに内容がない。ライターはセキュリティ業界の経験のない人なのかな。記事に出来るような情報がないまま無理矢理書いたのだろうが、一般論にも及ばない感じ。人数と件数に噛み付いているがデータベース管理業務の初歩的なことも知らない。スマホとPCを接続すればUSBストレージモードがあるのは中学生でも知っていること。ひょっとするとライターはIT素人かも。まさかそんな馬鹿なことはないでしょう。事件から日数が過ぎているのに耳を傾けるべき提言がないのは残念だ。イージー&プアー。
ベネッセの情報漏えい問題も実にこの「イージー&プアー」の姿勢が原因なのだ。せっかくISMSに取り組んでいるのにISMS審査が「イージー&プアー」。改善のチャンスを全部無駄にしている。スタッフは楽することばかり考えている。審査機関を変えなければ直ぐに次の問題を抱えるだけだろう。
今回はジャストシステムが馬鹿をやったから表に出てしまったが工夫して利用すればベネッセは何も知らない間に痩せて行っただろう。
※
http://diamond.jp/articles/-/61449
ベネッセは本当に他人事か?
企業を出し抜く新たな情報漏洩の手口と裏側
多くの日本企業が今、じつに様々な危機にさらされている。個人情報漏洩、サイバー攻撃、食の安全を脅かすフードテロ、ネット社会がもたらした風評被害など、こうした新たな脅威にいつ・どの企業が襲われてもおかしくはない状況だ。では、そんな新たなリスクにもし直面した場合、企業や社員として働く私たちはどう立ち向かえばよいのか。この連載では、企業を襲う最新のリスクを紹介しながら、その対策方法を解説する。
初回は、後を絶たない「情報漏洩」の問題について、ベネッセ個人情報漏洩事件を例に正しいリスク対応を解説する。
2億300万件の個人情報が盗まれた
ベネッセ個人情報漏洩事件
多くの方がご存じのように2014年7月9日、ベネッセホールディングス及びベネッセコーポレーションは、同社の顧客情報が漏洩し、その情報が第三者によって用いられた可能性があるとして緊急の発表を行った。
その後、この事件に関連して、ベネッセグループ業務委託先社員が逮捕され、ベネッセグループは身内に足下をすくわれた形となったが、さらに、盗まれた情報は名簿業者11社以上を経由して50社以上の別企業に買われていたことが判明し、事態は急変した。
犯人は単独犯であり、その大胆な犯行に加え、逮捕後の事情聴取過程で、当初、漏洩件数は最大2070万件(うち約760万件が漏洩確定)とされていたが、さらに件数は拡大。最終的に約3504万件に膨れ上がり、2013年7月頃から約20回に渡って持ち出された延べ件数では、実に2億300万件に及ぶ膨大な情報流出となったことが報道されると、日本全体に激震が走った。
損害賠償請求されれば経営危機は確実!
見落としてはいけない4つの重要ポイント
ベネッセ個人情報漏洩事件では、その流出件数の大きさだけにかかわらず、視点を変えてみると重要なポイントがいくつかあることがわかってくる。
第一に、最初から最後まで漏洩数は「件」で表示されていたことである。「人」ではなく、「件」で表示されていたということは、企業側に何か意図があるということだ。
http://diamond.jp/articles/-/61449?page=2
ベネッセは本当に他人事か?
企業を出し抜く新たな情報漏洩の手口と裏側
この事件の発表から3ヵ月が経過した頃、米金融大手のJPモルガン・チェースは標的型サイバーテロにより7600万人の顧客情報と企業700万社分の住所や氏名が流出したと発表したが、この報道では「人」が使用されていた。
一般的に、同一個人の情報が企業内に複数、年度別や用途別に保管されていると、盗まれた際に「複製」も含めて、最終的な漏洩人数を把握することが極めて難しくなる。さらに、コンピュータ的に考えれば、住所で「1-1-1」と「1の1の1」、さらに「1丁目1番地1号」は全て別の住所と判読され、数字の全角・半角の違いも読み取ることができない。このような状況から人数ベースでは少ないと思われる事件でも、名寄せができていないために同一個人の情報が複数氾濫し、流出時には膨大なデータとして件数で表示されることがある。これは、保管時のルールが曖昧であったり、保管状況にも課題がある事例が多い。
では、ベネッセでの事例ではどうだったのだろうか? 詳細については不明であるが、ベネッセ側の発表によると、件数は全て1世帯を1件としてカウントし、1件当たり保護者1名、子ども1名の情報が含まれ、漏洩1件について最低でも2人の情報が漏洩したとしている。この「最低でも」という情報を考慮すれば、流出した個人情報データの延べ件数は2億300万件ということだから、人数にして4億600万人以上の計り知れない膨大な個人情報データ(重複を含む)が持ち出されたことになる。これは、単純計算でも日本人口の約3.2倍に相当する。
第二のポイントとしては、犯人が自身のスマートフォンに約2260万件もの個人情報を保存していた事実である。従来型の携帯電話と比べ、スマートフォンは小型パソコンであり、処理能力は格段に違うということをまざまざと思い知らされた事件でもあった。数年前までは、USBメモリなどの外部接続やインターネット上の容量無制限の無料オンラインストレージを使って情報を取り出す方法などが危惧されたが、ベネッセ個人情報漏洩事件では、コロンブスの卵的な手法で、犯人にしてやられた。
また、最近のスマートフォンのコンピュータ・フォレンジック調査では、見た目上消失したデータを復旧して証拠保全する作業を行うが、後継の新機種になるほど、データの復旧が難しくなりつつある。高額な調査料を払ってもなお、復旧ができないということも度々あり、原因究明や容疑者の特定につながらない事態も出ている。
http://diamond.jp/articles/-/61449?page=3
ベネッセは本当に他人事か?
企業を出し抜く新たな情報漏洩の手口と裏側
第三のポイントは、流出した情報内容の価値である。ベネッセ側の発表では、流出した情報事項は以下のとおりとなっている。
・保護者氏名(漢字・フリガナ)
・子ども氏名(漢字・フリガナ)
・子ども生年月日
・子ども性別
・郵便番号
・住所
・電話番号(固定電話、または携帯電話)
・出産予定日(一部サービス利用者のみ)
・メールアドレス(一部サービス利用者のみ)
これらのデータは、決してセンシティブ情報ではないが、その利用価値を考えた場合、反社会的勢力、名簿屋、ライバル企業等にとって、まさに喉から手が出るほど欲しかったデータであっただろう。
これらのデータは5年も前であれば1情報あたり3円~10円で裏取引されていたこともあったが、ベネッセ個人情報漏洩事件では、2億300万件が400万円ほどで売却されたと公表されている。100件あたり約2円の計算となる。この金額を安いと見るか、それほど個人情報が世間に流出しすぎていて価値が下がったと見るか、いずれにしても恐ろしい事実を突きつけられた思いである。
第四のポイントは、情報流出対象者全員に一律500円の補償を行ったことである。この補償の原資として200億円が充てられ、特別損失として260億円が計上された。通常、一律支払われる補償としては見舞金などがあり、個別の損害賠償には当たらない。流出した個人情報事項が利用価値の高い内容であったことを考慮すると、過去の判例などから1人1万円程度の損害賠償請求に基づく集団訴訟が起きても不思議ではない。もし、そうなればベネッセグループは大変な経営上の危機を迎える可能性がある。
あわててデータ破損・消去するケースも
原因究明に求められる証拠保全能力
概ね企業の情報漏洩マニュアルには、発覚後一定の時間が経過するまでに原因究明がなされなければならない旨が厳重に記載されている。
しかし、大量に保存されたログデータから容疑者特定に結びつくデータを効率よく抽出するのは容易ではない。根気よく調査を続けた場合には、数ヵ月を要することもある。しかも、定期的な情報の棚卸しによって個々の情報の所在が事前に確認されていることに加え、アクセスした場合のログが完全に保全されていることが最低の条件である。
http://diamond.jp/articles/-/61449?page=4
ベネッセは本当に他人事か?
企業を出し抜く新たな情報漏洩の手口と裏側
昨今では、ハイテク機器の使用を伴う犯罪が日常化してきており、証拠収集・保全は企業の原因究明には不可欠な手段となりつつある。一方、情報セキュリティの分野では、破損・滅失しやすいデジタル情報をいかに完全に証拠保全するかが懸案事項となっている。不正行為者は証拠保全が難しいことを十分理解した上で、大胆な犯罪行為を繰り返すことも少なくない。
現実に漏洩事故が発覚した際、あわてて行ったシステム担当者の収集行為によって、データを破損・消去することで証拠性を失ってしまうことが多発している。
コンピュータ・フォレンジックやネットワーク・フォレンジックの専門家は、こうした収集行為を適切に行い、完全な形で証拠保全を行う。さらに、フォレンジックの専門家は、“防御的セキュリティ”技術のほか、容疑者のコンピュータに対しても解析を行う“攻撃的セキュリティ”技術を駆使して、両面からの証拠保全を行う。
それらは科学的捜査であり、法的には容疑者を告発するに足るものである。しかし、一方で、現在、適切な証拠保全がなされ、告発にまで至っている事例は極めて少ない。それは、一般企業における証拠保全に関する知識のなさとそれを可能とする高度なフォレンジック専門家がまだまだ日本において少ないことによる。以下の「表1」のように、不正行為の事例ごとに適応できる法律が、予め認識できていれば、確実に証拠保全できる可能性が高くなるはずだ。
拡大画像表示
※
