対策は「アクセス制限」だけでは不十分
これらの数千万人規模の情報漏えい事故の共通点は「外部委託先による内部犯行(過失を含む)」が原因であるという点です。対策としてまずは、最低限下記を実行すべきです。
アクセス制限:機密情報へのアクセスやダウンロードを厳重に制限し、モニタリングとアラートの仕組みを整備する(契約社員に業務範囲を超えた機密情報のアクセスやダウンロードできる権限を与えるべきではない)。
ただし厳密なアクセス制限やモニタリングの仕組みだけでは十分ではありません。
ほとんどの企業ではインターネットから企業ネットワークへのアクセスにはセキュリティシステムを設置していると思います。なぜならインターネットの向こうにはサイバー攻撃をしかける悪意を持つ攻撃者がいるのが前提だからです。
しかし、外部からの攻撃には対策していても内部からの攻撃に対して十分な対策をしていない企業は多いようです。一方、情報が漏えいした場合それが外部からの攻撃であっても内部犯行であっても被害への影響は同じです。
故意であれ過失であれ内部からの犯行は起こりえます。外部からの攻撃を防御するのと同じ考えで、同じレベルのセキュリティシステムを設置するべきです。例えばデータセンターに外部からのアクセス用にファイアウォールを設置するのであれば、内部ネットワークからデータセンターへのアクセスへもファイアウォールが必要です。
このように考えると先ほど「最低限」として挙げたアクセス制限も十分でないことがわかります。外部の攻撃者にはアクセス権を与えていない上に、外部から機密情報があるサーバにパケット1つも届かないようなネットワークを構築しているにもかかわらず、内部にいる者に対しては管理者以外にアクセス権限を与えていないだけで、ネットワーク上はつながっている場合が多いためです。これでは内部からは比較的容易に機密情報を盗み出せてしまいます。もちろん管理者のアクセスであっても信頼せず十分モニタリングすることも重要です。
再度言いますが内部犯行はありえます。データベースやサーバへのアクセス権限を制限するだけではなく、管理者以外は機密情報を有するサーバにパケットすら飛ばせないようなネットワークレベルでのセキュリティシステムを設置することにより、内部犯行によるリスクの軽減が可能です。
内部ネットワークのセキュリティについては「これからのネットワークのセグメント化」と「これからのネットワークのセグメント化Part2」でも紹介しています。これらの記事が自社のセキュリティを見直すきっかけになれば幸いです。
- 菅原 継顕
- 米パロアルトネットワークス 日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。