ベネッセ情報漏えい

ベネッセ顧客名簿漏えい事件から考える情報セキュリティの具体策--後編 - (page 2)

岡田靖

2014-09-01 07:30

組織としての対策とユーザー企業の意識

 以上のような対策を実施する上で重要なのは「監査や監視、規制措置は対象と別の人物が担当する」こと。例えば、DBアクセスの監査や監視を対象となるDBの特権IDを使う可能性のある人物に任せてはいけない。USB接続制限ツールの管理も、他システムで特権ユーザーとなる可能性のある人物に任せるべきではない。

 どれだけ人材が不足していようと、その部分の切り分けを明確にしておかねば、属人的なセキュリティホールとなってしまう。今回の事件でも、容疑者はDBに設けられていた流出防止措置を解除した上でデータの抽出を行っていたとされる。

 一方で、セキュリティの強化は業務を煩雑にしたり、人件費を増大させることにもなる。例えば、特権IDの貸し出しなどを取り入れれば作業前後の手続きが増えてしまう、監査や監視を行えばそれぞれの担当人員が必要だ。ワークフローの整理で効率化を図ったり、セキュリティ監査や監視には専門のアウトソース先を利用するといった対策も考えられるが、いずれにせよユーザー企業にとって、ある程度のコスト負担が生じてしまう。

 そのため、SIパートナーなどからは提案しづらい面もあるかもしれない。また、主に関わる業界によって違いがあるようだが、全てのSIがセキュリティのフレームワークやベストプラクティスなどを持ち合わせているわけでもない。

 一方、さまざまな業界での度重なるセキュリティ事故の影響で、エンドユーザーのプライバシー関連情報に対する目は厳しいものとなってきている(もっとも、意識しているという割には実際の対策が追いついていないエンドユーザーが多いのも現実ではある)。やはり、ユーザー企業側が主導してSIパートナーに持ちかけ、セキュリティの強化に努めるのが筋ということになるのではないだろうか。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]