ベネッセ情報流出のニュースを見ての雑感
ベネッセ情報流出、下請け先を刑事告訴へ コピー履歴残る - ITmedia ニュース
ちょっとだけ、上記の情報流出についての所感。
個人情報のアクセスできる端末でUSBが使えることの恐怖
まず、一番気になったのがパートナーさんも単独で本番の顧客情報を使える端末でUSBを使えちゃうのってのは、驚きでした。
オッサンのところの会社でも、この手の情報漏えい対策は年々厳しくなっており、あまり詳しくは話せないものの、ベネッセの事例よりはるかに厳しい情報漏洩対策が行われてたりもします。
まあ、なのでよく使われているファイル共有サービスは利用はご法度。DropboxやGoogleDriveなどは、仕事で使うことはできません。
ファイル共有サービスについても、エンプラ用のお高いものを利用していたりもします。
人様の情報を扱う以上、仕方ないんでしょうけど。。。
話がそれました。
ユーザからITO(=ITアウトソーシング)を受け持った場合、IT運用におけるセキュリティ対策を軽視されることがままあります。
例えば、セキュリティ保全のために、アクセス制御用のGWサーバを導入を提案したとしても、「余計な予算を掛けたくない」みたいな感じで却下されることも珍しくない。プライバシーマーク認定企業だから大丈夫でしょ、みたいに思われているのかもしれませんが。。。だからといって、システム対策が不要ってわけじゃあ無いんですけどね。
ベネッセも、セキュリティに対して過信をしていたわけではなさそうですが、システム子会社が担当していたし、まあ予算をかけなくても大丈夫だろう、みたいな思惑もあったんじゃあないかな、なんて邪推してしまうわけです。
人を頼りにしたセキュリティ対策を語っても解決できない
この手の情報漏洩問題が発生すると、必ず「下請会社の社員」という部分にフォーカスされ、「IT業界の下請構造が問題だ」みたいな声が聞かれます。
下請構造で、利害関係者が入り乱れるから、モラルの低い下請作業者が混在するからみたいな理由から語られる話です。
それなりに説得力の有りそうな話ですけど、実際には正社員や元正社員による情報漏洩も多数発生しており、正社員だってモラルが保てなければ問題が発生するということには代わり映えがありません。
この、正社員のモラルが低いから、下請を使っているからみたいな「人」に着目したセキュリティ対策では、決して情報漏洩問題をなくすことはできないと思います。
セキュリティ保全のためのIT運用システム(アクセス認証システム、USB利用制御ソフトなど)をきちんと有価なものと認識、導入することで、「人頼りのセキュリティ」から「システム頼りのセキュリティ」に変わらなければ、今後も情報漏洩は起き続けるものと思います。
まあ、モラルの高低にかかわらず、突破困難なセキュリティが重要かなと。
まとめ
まとめると、この手の情報漏洩事件に関して、「人」にフォーカスしたニュースってときとしてセキュリティ対策のミスリードになりかねないんじゃないかな、と思います。
「人」を強調し過ぎることで、本質的なセキュリティ運用のマズさがぼかされてしまい、「うちは全員正社員だから情報漏洩おきません」みたいな認識になってしまってはまずいんじゃあないかな、と思うわけです。
以上
図解入門 よくわかる最新情報セキュリティの基本と仕組み―基礎から学ぶセキュリティリテラシー (How‐nual Visual Guide Book)
- 作者: 相戸浩志
- 出版社/メーカー: 秀和システム
- 発売日: 2010/03
- メディア: 単行本
- 購入: 10人 クリック: 206回
- この商品を含むブログ (13件) を見る