20. 【情報漏洩事例】某大手企業の場合

情報漏洩には、絶対に安全という対策はありません。しかし企業として、個人情報や機密情報は死守しなければなりません。

今回、情報漏洩の事例として、某大手企業の個人情報流出例を紹介していきます。その原因や防止策についても触れていますので、身近な情報漏洩対策を考えるのに役立てください。

情報漏洩でどれだけの被害があったか

2014年6月下旬、この事件は「覚えのないIT企業からダイレクトメールを受け取った」との顧客の指摘により発覚しました。顧客データベースの運用を委託しているグループ会社の元派遣社員の手によって、個人情報が社外に不正に持ち出されていたのです。

流失したのは、これまでにサービスを利用したことがある子どもや保護者の名前、子どもの生年月日や性別、住所、電話番号などの個人情報、約3,504万件。それらが3社の名簿会社へ売却され、被害件数としてはそのうちの約2,895万件と推計されています。

なぜ情報漏洩してしまったのか – システムの問題

犯行の手口は、データベースから抽出したデータをスマートフォンに保存するというものでした。

この情報漏洩の背景には、システムやモニタリング方法での問題がありました。
社内規定上、データを外部メディアに書き出すことは禁止されており、その行為を制御するシステムも採用されていたといいます。しかし、スマートフォンの新機種を含む一部の外部メディアへの書き出しについては機能しない状態にありました。

また、個人情報が保管されているサーバーへのアクセスは自動的にそのログが記録され、その通信量が一定の値を超えると責任者へメールでアラートが送信されるような仕組みも存在しました。しかしそのシステムも、アラートの対象範囲の設定が曖昧だったため機能しなかったようです。

このように、せっかく仕組みがあっても、少しの設定不備や想定外の事項(意図的な不正行為)により、事件の発覚が遅れてしまっているのです。

なぜ情報漏洩してしまったのか – 組織としての問題

某大手企業の役職員は、自社の情報セキュリティについて万全な対策を講じているという認識であったといいます。それはセキュリティに多額の予算を投入し、従業員の教育・研修にも力を入れていたという事実からなるものであったはずですが、その認識は実態と異なっていたと言わざるを得ません。

また、委託先のグループ会社間では組織再編が頻繁に行われていました。そこで業務内容の引継ぎが十分になされていなかったり、組織における責任や権限の所在が不明瞭になったりということが発生していたのです。

このような組織内の意識の甘さが、システムの問題に繋がっていったと考えられます。

再発しないための防止策

事件発覚後、これらの問題に対する様々な緊急対策・再発防止策を実施しました。情報漏洩の防止策として、「アクセス権限の見直し」、「定期的なアクセスログの監視」の2つが有効な策として挙げられます。

アクセス権限はむやみに付与するのではなく、必要最小限の担当者のみに限定します。その際、パスワードの管理も徹底することが重要です。そして、アクセスログの定期的なチェックも強化しましょう。ログを監視することにより、不正アクセスの発見だけではなく情報漏洩の対策として効果的です。

今回の事例は内部者による犯行でした。このように、大規模な情報漏洩が行われてしまう危険性はいつでも潜んでいるのです。「うちの会社は大丈夫」と過信せず、常に防止策を見直し、取り組んでいくことが大切です。

情報漏洩対策におけるログ管理

ログ管理とは?

「ログ管理とは何?」という人から、さらに活用したい人まで、ログ管理をわかりやすく説明します。 > ログ管理とは?