コンピュータのあらゆる操作が可能な管理者権限を与えられている管理担当者。深刻な情報流出の場合、「管理者権限の運用に大きな落とし穴があることが多い」と、統合ログ管理に詳しいラックのサイバーリスク総合研究所 コンピュータセキュリティ研究所の岩井博樹所長は注意を促す。
管理担当者が意図的に盗み出し
ノートパソコンの紛失、あるいは盗難などにより個人情報が流出してしまったというケースがよくニュースで報じられている。もちろんこうしたうっかりミスが許されるわけではないが、個人の所有するパソコンからの情報流出である場合、流出データは比較的少ない数に留まることが多い。しかし、企業内部の人物が個人情報を保存しているコンピュータに不正にアクセスし、確信犯的に盗み出したとしたらどうなるだろう。しかもその人物が、コンピュータのすべての機能を自在に操作できる管理者権限を持つ管理担当者であったとしたら……。当然、流出件数は膨大になる可能性が高い。
ある企業では、この管理者権限を与えられた管理担当者が社内のファイルサーバ上にあった個人情報を盗み出し、インターネット上へ流出させるという事件が発生した。流出した数は、近年でも最悪の数百万件に達した。
流出が判明した時点で、社内に対策本部を設置し、情報システム部門へ流出内容の分析と原因の究明を指示。戻ってきた回答は、流出内容として顧客の住所、氏名、生年月日、そして取引の履歴までが含まれているというものだった。
社内は通常業務を止めて対応に
対策本部ではその規模の大きさにがく然とし、急きょ記者会見を開催。その事実をマスコミに公表した。併せて、顧客からの問い合わせに応えるため、人員や電話回線の確保に走り回らなくてはならなかった。
マスコミ発表の翌日から、受話器を置く間もないほどに、顧客からの問い合わせが押し寄せてくる。口々に情報流出による二次被害への不安を訴え、どう責任を取ってくれるのかの説明を厳しく求められた。一方、営業部門では、取引先の不安解消とお詫びのため、担当者総出で取引先回りをスタート。管理部門も騒然としていた。流出が特定できた顧客に対し、お詫び状を発送する準備を急ピッチで進めなくてはならなかったからだ。
この間に、情報システム部門から流出事故に関する詳細な報告が上がってくる。しかし、その答えは対策本部を落胆させるものだった。