ベネッセ事例の改め。「人」に着目したセキュリティ議論は問題を解決できない
いい具合に容疑者逮捕、報道も一巡し、自分の個人情報も流出したことが確定したことですので、改めて情報をまとめてみますか。
セキュリティ運用のおさらい
まず、セキュリティ運用について。
外部からの攻撃に対して、主に内部者からの攻撃に対抗するためにはセキュリティ運用を行う必要があります。
セキュアなシステム運用を行う上で、いくつかの対応がありますが、オッサンが内部メンバーに対して説明するときには「隔離」「監視」「権限」みたいな概念で説明してます。
隔離は、物理的、論理的に重要なデータを普段使用する場面から隔離してセキュリティを高めること。静脈認証システムの導入、本番との切り離し、GWサーバの導入など、ですね。
監視は、 アクセス監視などを行うことにより、攻撃を速やかに発覚させることでセキュリティを高めることです。侵入検知システムの導入、ログ監視運用の実施、監視カメラの導入など、ですね。
権限は、利用と承認というプロセスを得ることで、複眼的な利用の妥当性チェックを行うだけでなく、権限上位者を限定することで監視や隔離をやりやすくし、セキュリティを高めること。アクセス承認システムの導入、特別権限者に限定した入退出管理、端末利用権限とUSB持出権限の分離など、ですね。
完璧なセキュリティ対策は無い、とよく言われています。技術の進歩により破ることも可能と。
なので、通常は上記のような施策を複数導入することで、「現時点の技術では限りなくセキュリティ突破が困難」な状態にするわけであり、定期的な運用設計の更新が必要となるわけです。
所謂個人情報を管理する企業であれば、上記のセキュリティ運用を最低1重以上設定しているもんですね。
オッサンの会社では、これを4重ぐらいに設定しているので、本番データに触るときは面倒くさいことこの上ないわけです。。。。
ベネッセのセキュリティ上の問題点
じゃあ、上記を踏まえてベネッセのセキュリティ運用の何が問題だったのか、整理してみます。
セキュリティ運用に対して一番正確な言及をしているな、と思ったのは以下の記事。
萩原栄幸の情報セキュリティ相談室:ベネッセの情報漏えい事件を分析 問題点と今後の可能性とは何か (1/3) - ITmedia エンタープライズ
報道から伺えるベネッセのセキュリティ運用は以下のとおり。
- 端末のUSB利用不可制御
- 端末アクセスログの監視
- データアクセス権限者の設定
ただし、いずれも正常に稼働していないことが判明してます。
1.の端末のUSB利用不可制御は、「隔離」に該当する対策です。
実際には、スマートフォンによる接続により回避されてしまっていることが判明してます。セキュリティ上の穴を塞ぎきれてなかったわけです。
2.の端末アクセスログの監視は「監視」に該当する対策です。
実際には、個人情報流出の指摘を受けるまで、全くチェックされてなかったわけです。セキュリティ上大穴が開いている状態です。
3.のデータアクセス権限者の設定は「権限」に該当する対策です。
実際には、委託先の容疑者にも全データアクセス権限が与えられている様に、適切な管理がされておらず、まともな運用になっていなかったことが判明してます。この場合は、本番確認の都度、限定的な参照権限を与えるのが一般的な運用です。セキュリティ上、何も管理されていない状態です。
上記のように、ベネッセのシステム運用は無きに等しい状態であることが判明してます。
これでは、上場会社の個人情報を取り扱う会社として、責任を追求されても仕方ない状態といえるでしょう。
待遇や業界構造みたいなポジショントークは筋違い
さて、前回のエントリでは。「人」に着目したセキュリティ議論は問題を解決しないと言いました。
ただ、案の定というかやはりセキュリティ運用以外のワキの議論が活発になってしまってます。。。
幾つか、はてなで目にとめた記事を挙げさせて頂いてますが、いずれも「下請構造が悪い」「待遇が悪いからだ」みたいな問題点で語られているわけです。
ところが、実際のところ、容疑者の実情見てみますと
名簿業者に売却して計約250万円を得たという。捜査関係者によると、松崎容疑者は趣味のパチンコや競馬に金をつぎ込み、消費者金融から借金を重ねていた。月給約38万円のうち、約11万円を毎月の返済に充てていたという。
なんて報道がされてます。
月収38万。。。年収ベースだと、600~700万円ってとこですかね。
今回の容疑者は、ベネッセ子会社「シンフォーム」から業務委託された委託先会社社員です。
客先常駐の形をしているためシンフォームとは「派遣」の形で契約を結んだかもしれませんが、委託先会社の中では「正社員」なわけですね。
IT業界、特にSI屋では結構よくある話ですけど、委託先会社のほうが大企業で、実は委託元よりも給料が良い、なんてことあります。
ベネッセの平均給与が700万、30代月収が30万なんて情報*1もありますし、ヘタしたら松崎容疑者の方がベネッセ社員よりも給料が良いんじゃあないかな、なんて思います。
つまり、給与の多寡なんて犯罪を犯すのに関係ないんですよ。
ぶっちゃけて言えば、「待遇を良くしてセキュリティ犯罪を防ぐ」ってのは、セキュリティ運用「監視」が正常に働き、問題があった場合に懲罰を与えることができる運用ができて初めて効果を発揮するんですね。さらに言えば、セキュリティ権限上上位に位置する一部の人間だけ高待遇など、「権限」対策と組合せてメリハリをつけたりだとか。
待遇云々ていうのは、セキュリティ運用が正常に機能して初めて成立する話なんですよ。
今回のベネッセの様な、セキュリティ運用が穴だらけな状態であれば、犯行に対する抑止力が下がってしまい、給料がどんなによくとも犯罪を犯す人間は出てくるでしょう。実際、起きているわけですし。
さらに言えば、待遇云々で改善するためには、待遇と情報流出犯行の損得の比較ができるだけの合理性のある判断力を全ての人間が持ってることが必要。正直、現実的には無理だと思います。そんな合理的な判断ができたら、松崎容疑者はギャンブルで借金はそもそもしないんじゃないかなと思います。
また、情報流出の少なからずの理由として待遇面以外の「職場への復讐」「産業スパイ行為」があることを忘れちゃあいけない。
セキュリティ運用を語らずして、業界構造や待遇の話を語っても、問題の根本解決に向かうのは難しいと思います。
まとめ
事件発生当時に書いたことを繰り返します。
セキュリティ保全のためのIT運用システム(アクセス認証システム、USB利用制御ソフトなど)をきちんと有価なものと認識、導入することで、「人頼りのセキュリティ」から「システム頼りのセキュリティ」に変わらなければ、今後も情報漏洩は起き続けるものと思います。
これ。結局、事件発生から情報が一巡しましたが、オッサンが最初に書いた内容に変わりがないと思ってます。
蓋を開けてみれば、ボロボロのシステム運用だったベネッセ、待遇はそこそこ良かったものの犯行を犯した容疑者、となるわけです。人の問題というのは、ちょっとつらいでしょう。
「人」にフォーカスした議論って、システム運用などに関わったことがない人だとどうしてもポジション持ちやすい話なので、今回のような事例で語られちゃったりするのだと思います。しかし、そういったポジショントークでは問題を防ぐことはできないと思います。
というようなことを、子供の情報を流出させられた怨みつらみのポジショントークで語っているわけです。
余談
そういや、容疑者は39歳、年収600~700万前後でベネッセの仕事。。。
委託先会社を幾つかに限定できそうな気もしますが、間違いだったらアレなんでここでは書かない方向で。
以上
