おおよその流出経路の解明と犯人の絞り込みはできたものの、記録していたログでは犯人の特定が不可能というものだった。対策本部に落胆の色が広がる。しかし気落ちしている暇はない。マスコミからの追加取材への対応、関係機関への報告、情報流出に強い不満を持つ顧客を直接訪問しての謝罪と説明、やるべきことは山積していた。
問い合わせの電話が鳴り止むまでには、その後1ヶ月近くを要した。この間に投入した人件費や事務費用を合わせると、数億円のコストが必要だった。流失事故による顧客や取引先への信用失墜により、遺失利益も発生する。何より、1ヶ月近くの緊急対応のため、企業としての通常業務が行えなかったことは痛かった。さらに、慰謝料請求などの裁判対応、再発防止策の検討、その実施のための投資費用など、これからも新たなコストが発生する。信頼感喪失による既存顧客の離反や新規顧客獲得減少なども見込まれる。情報流失の損害は甚大だ。
5人の管理担当者がIDとパスワードを共有
重大な情報流出事故に見舞われてしまったこの企業だが、もちろんまったくログ管理をしていなかったわけではない。顧客情報を保存しているファイルサーバへのログオン/ログオフのログやファイルサーバの稼動状況を記録するイベントログ、外部ネットワークからのアクセス状況を監視するセキュリティログなどを記録し、標準的なログ管理を行っていた。ログ解析の専門スタッフもそろえてはいた。流出判明直後のログ解析により、内部の人間による犯行であるというところまで自力でたどり着けたのも、こうした理由による。しかし、管理者権限の運用で重大な落とし穴があったのだ。
システムのセットアップやアプリケーションのインストールなどの作業をするには、管理者権限でシステムにログオンする必要がある。このため、管理すべきサーバやパソコンの数が増えれば、管理者権限を持つ管理担当者の数も増やさなくてはならない。この企業でも、5人の管理担当者を置いていた。しかし、管理者権限でログオンする際には、同一のIDとパスワードを使っていたのだった。このため、どの管理担当者がファイルサーバから個人情報を盗み出したかを特定できない。まずこれが、第1の落とし穴になった。
管理端末ごとの操作ログさえ取っていたら……
ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所 岩井博樹所長大量の個人情報が流出し、犯人は内部にいるらしいとなれば、真っ先に疑われるのはシステムを制限なく操れる管理担当者である。「このため、管理担当者をいかに管理するかはホットな話題となっています」と岩井氏。この企業と同様な運用をしている場合でも、特別なツールを導入しログを取ることで、ユーザーを特定することが可能になるという。
しかし、「運用リスクを考え、ログを取る対象をもう少し広げておけば、犯人の特定はもっと簡単にできるはず」とも岩井氏は指摘する。この企業では、各管理担当者が使用する管理端末の操作ログ、そしてファイルサーバ上での管理担当者ごとの操作ログを取っていなかった。システムの入り口でのチェックを怠るという第2の落とし穴があったのだ。
最終的に、情報流出の犯人は分からずじまいで終わったこの事件。想定されるリスクをカバーできるように、ログ取得の範囲を事前にしっかりと検討しておくことがいかに重要かを、改めて強く意識させてくれる。
