組織としての対策とユーザー企業の意識
以上のような対策を実施する上で重要なのは「監査や監視、規制措置は対象と別の人物が担当する」こと。例えば、DBアクセスの監査や監視を対象となるDBの特権IDを使う可能性のある人物に任せてはいけない。USB接続制限ツールの管理も、他システムで特権ユーザーとなる可能性のある人物に任せるべきではない。
どれだけ人材が不足していようと、その部分の切り分けを明確にしておかねば、属人的なセキュリティホールとなってしまう。今回の事件でも、容疑者はDBに設けられていた流出防止措置を解除した上でデータの抽出を行っていたとされる。
一方で、セキュリティの強化は業務を煩雑にしたり、人件費を増大させることにもなる。例えば、特権IDの貸し出しなどを取り入れれば作業前後の手続きが増えてしまう、監査や監視を行えばそれぞれの担当人員が必要だ。ワークフローの整理で効率化を図ったり、セキュリティ監査や監視には専門のアウトソース先を利用するといった対策も考えられるが、いずれにせよユーザー企業にとって、ある程度のコスト負担が生じてしまう。
そのため、SIパートナーなどからは提案しづらい面もあるかもしれない。また、主に関わる業界によって違いがあるようだが、全てのSIがセキュリティのフレームワークやベストプラクティスなどを持ち合わせているわけでもない。
一方、さまざまな業界での度重なるセキュリティ事故の影響で、エンドユーザーのプライバシー関連情報に対する目は厳しいものとなってきている(もっとも、意識しているという割には実際の対策が追いついていないエンドユーザーが多いのも現実ではある)。やはり、ユーザー企業側が主導してSIパートナーに持ちかけ、セキュリティの強化に努めるのが筋ということになるのではないだろうか。