(後編はこちら)。
7月17日に容疑者が逮捕されたベネッセからの顧客情報流出事件。ここではベネッセのサイトや新聞、テレビの報道を基に今回の事件を整理し、本件を題材として情報漏洩対策について改めて考察する。なお、事件に関する情報は執筆時点のもの。
今回の事件では「こどもちゃれんじ」「進研ゼミ」などベネッセのサービス利用者(児童・生徒および保護者)やイベント参加者などの名簿が流出した。捜査では、容疑者のスマートフォンに約2300万件の個人情報が確認されたという。
その情報は顧客名簿として売買され、複数の業者を経由した後にジャストシステムが購入した。そのジャストシステムから届いたダイレクトメールを、少なからぬ数の利用者が不審に感じてベネッセに問い合わせたところで流出が発覚した。ユーザーの一部に、ベネッセのサービスに登録する際、住所氏名などに本来とは少し違うユニークな表記を含めていた者たちがおり、その表記のまま届いたことが発覚につながった。
本件の容疑者として不正競争防止法違反の疑いで逮捕されたのは、ベネッセのIT子会社から委託された企業で、派遣社員としてベネッセの顧客DBを管理していた男。業務中に顧客DBから名簿の一部を抽出、職場の貸与端末に私物スマートフォンを接続してデータを持ち出し、順次名簿業者に持ち込んで売却していたとされる。
特権には濫用のリスク
本件では、データベース(DB)管理業務というシステム上の特権を持つ重要な役割を、委託先の派遣社員という「外部」に限りなく近い者に任せていたことについて、責任と待遇のギャップに問題があると指摘する声もある。だが、その点を改めたとしても、セキュリティ上の課題が根本的になくなるわけではない。
特権には常に濫用のリスクがつきまとう。濫用を防ぐ仕組み、あるいはもし濫用されたとしても被害を抑える仕組みを必ず用意する必要がある。例えば、経営上の特権や行政上の特権についても、そうした考え方に基づいて対策となる仕組みを設けておくのが基本であり、情報システムにも当てはまる。
特権ユーザーに対して高い身分、待遇を与えるというのは、濫用される可能性を減らす仕組みとして有効だろう。確かに本件では、金銭に困ったことが犯行の動機とされており、金銭面で高い待遇を与えておけば防げたのかもしれない。しかし、どれだけ高い報酬を受けていようが、投資やギャンブルで大失敗したり、何らかの事情で個人として多額の借金を負う可能性はある。
しばしばITエンジニアの労働条件や待遇が厳しいものとなっていることは問題だが、それは主に労働や雇用の問題。セキュリティに関して言えば、担当者の待遇は「リスクを少し減らす」以上の効果を期待できるものではない。
さて、今回のようなDBからの情報流出事件への備えとして効果が期待できる主な対策としては、(1)不必要にデータを取り出させないこと、(2)持ち出させないことの2点。具体的に言えば、(1)がDBアクセス監査/監視、(2)がデータの持ち出し対策となる。ファイルサーバ上のデータに関しては、(1)の対策としてファイル暗号化ソリューションも考えられる。