ベネッセ情報漏えい

ベネッセ顧客名簿漏えい事件から考える情報セキュリティの具体策--前編

岡田靖 2014年08月25日 07時30分

  • このエントリーをはてなブックマークに追加

 (後編はこちら)。

 7月17日に容疑者が逮捕されたベネッセからの顧客情報流出事件。ここではベネッセのサイトや新聞、テレビの報道を基に今回の事件を整理し、本件を題材として情報漏洩対策について改めて考察する。なお、事件に関する情報は執筆時点のもの。

 今回の事件では「こどもちゃれんじ」「進研ゼミ」などベネッセのサービス利用者(児童・生徒および保護者)やイベント参加者などの名簿が流出した。捜査では、容疑者のスマートフォンに約2300万件の個人情報が確認されたという。


 その情報は顧客名簿として売買され、複数の業者を経由した後にジャストシステムが購入した。そのジャストシステムから届いたダイレクトメールを、少なからぬ数の利用者が不審に感じてベネッセに問い合わせたところで流出が発覚した。ユーザーの一部に、ベネッセのサービスに登録する際、住所氏名などに本来とは少し違うユニークな表記を含めていた者たちがおり、その表記のまま届いたことが発覚につながった。

 本件の容疑者として不正競争防止法違反の疑いで逮捕されたのは、ベネッセのIT子会社から委託された企業で、派遣社員としてベネッセの顧客DBを管理していた男。業務中に顧客DBから名簿の一部を抽出、職場の貸与端末に私物スマートフォンを接続してデータを持ち出し、順次名簿業者に持ち込んで売却していたとされる。

特権には濫用のリスク

 本件では、データベース(DB)管理業務というシステム上の特権を持つ重要な役割を、委託先の派遣社員という「外部」に限りなく近い者に任せていたことについて、責任と待遇のギャップに問題があると指摘する声もある。だが、その点を改めたとしても、セキュリティ上の課題が根本的になくなるわけではない。

 特権には常に濫用のリスクがつきまとう。濫用を防ぐ仕組み、あるいはもし濫用されたとしても被害を抑える仕組みを必ず用意する必要がある。例えば、経営上の特権や行政上の特権についても、そうした考え方に基づいて対策となる仕組みを設けておくのが基本であり、情報システムにも当てはまる。

 特権ユーザーに対して高い身分、待遇を与えるというのは、濫用される可能性を減らす仕組みとして有効だろう。確かに本件では、金銭に困ったことが犯行の動機とされており、金銭面で高い待遇を与えておけば防げたのかもしれない。しかし、どれだけ高い報酬を受けていようが、投資やギャンブルで大失敗したり、何らかの事情で個人として多額の借金を負う可能性はある。

 しばしばITエンジニアの労働条件や待遇が厳しいものとなっていることは問題だが、それは主に労働や雇用の問題。セキュリティに関して言えば、担当者の待遇は「リスクを少し減らす」以上の効果を期待できるものではない。

 さて、今回のようなDBからの情報流出事件への備えとして効果が期待できる主な対策としては、(1)不必要にデータを取り出させないこと、(2)持ち出させないことの2点。具体的に言えば、(1)がDBアクセス監査/監視、(2)がデータの持ち出し対策となる。ファイルサーバ上のデータに関しては、(1)の対策としてファイル暗号化ソリューションも考えられる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]