ベネッセ情報漏えい

ベネッセの情報漏えいから学ぶ情報管理 - (page 3)

河野省二(ディアイティ)

2014-07-25 07:30

(1)データベースからのダウンロード禁止

 情報漏えいのリスクが高まるのは、情報をコピー(複製、印刷、メール送信など)するときです。

 その理由は、情報管理における連鎖が途切れてしまう可能性があるからです。また、情報が増えることで管理コストが増大することもリスクを増やします。

 データベースシステムで情報漏えいリスクが高まるのは、データをダウンロードしたりバックアップを取ったりする時です。

 ベネッセコーポレーションでは顧客データベースからのダウンロードを制限していたと報告されています。ただし、これでは保守ができませんので、管理者には何らかの権限が与えられ、ダウンロードができるようになっていたようです。

 ここでの着眼点は2点です。

 ひとつは管理者権限の与え方です。管理者IDが個別に与えられていることが重要です。管理者IDは1つ(例えば、adminやrootなど)で管理者業務を用のものを共通で使っているとなると、行動を把握することができません。この状況では、パスワードの変更が容易でないために、管理者IDの不正利用がされやすくなってしまいます。

 もう1つは、管理者IDの権限について、どのような業務ができるのかという点です。担当者ごとに別のIDが与えられ、許可されている業務が異なるのであれば問題ありませんが、すべての業務を実行できるということになると、権限を超えた業務が実施できることになってしまいます。

 管理者IDは個別に与えられ、それぞれの業務に応じた権限が割り当てられていることが重要です。

 さらに、バックアップの管理やログの管理も重要になってきます。

 データベース上ではID単位で管理ができている企業でも、バックアップデータには比較的多くのエンジニアがアクセスできることがあります。バックアップデータもデータベース内のデータと同様のアクセス権を設定できるようにしなければいけません。

 これはログについても同様です。ログデータには、処理したデータの内容が記載されることがあります。特に個人情報の場合はどのデータを操作したのかについて、データに与えられたインデックス(IDなどのキーとなるデータ)をもとに名寄せすることで、意味のあるデータを作り出せてしまいます。以前にこの方法で、キャッシュカードを偽造されてしまうという事件が発生しました。システムの開発時に必要なログデータと、運用時に必要なログデータは異なります。これらのログへのアクセス権についても、相応の注意が必要になってきます。

(2)デバイスの制限

 シンフォームでは、データベースに接続できるPCを制限していたようです。 そしてそのPCからのデータ持ち出しができないように、USBメモリなどの外部メディアの接続なども制限されていたように報道されています。

 しかしながら、今回は犯人のスマートフォンを接続することで情報の持ち出しに成功してしまいました。以前から情報を持ち出そうと思っていた犯人が偶然スマートフォンを接続した際に、外部メディアとして利用できることに気がついたということです。

 たとえば、デジタルカメラなどではマスストレージモードというのがあり、USBメモリのように振る舞って、PCにデータを送ったり、PCからデータを保存したりすることができます。このような振る舞いをするデバイスであれば、USBメモリを禁止にしておくことで同様に接続の禁止ができます。

 スマートフォンもUSB経由で接続されるために同じように制限されるかもしれないと考えていたのかもしれませんが、導入していたアプリケーションでは制限されなかったようです。

 これはAndroidスマートフォンの接続がUSBメモリの振る舞いを模したものではなく、別の接続形式であったことが考えられます。また、AndroidはOSのバージョンが複数あり、それによる接続形式の違いなどもあったかもしれません。どちらにせよ、スマートフォンが接続され、外部メディアとして利用されるかもしれないということが想定されていなかったのが問題だったといえるでしょう。

 このような制限を行う場合に、ブラックリスト方式、ホワイトリスト方式があります。ブラックリスト方式とは、制限するものをリストにするやり方です。この場合は制限するものをリストに載せなければいけませんので、頻繁な更新が必要になります。一方でホワイトリスト方式では、許可するものだけをリストにするやり方です。頻繁な更新が必要ありませんが、許可するデバイスが多い場合に設定が面倒になります。

 どちらが良いかはその環境によりけりですが、今回の場合はブラックリスト方式で、その更新がうまくいってなかったのが問題だと判断することができます。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

  5. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]