編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方
ベネッセ情報漏えい

ベネッセの報告書を読んで浮かんだ違和感

河野省二(ディアイティ)

2014-10-07 07:30

報告書の概要

 7月に発覚したベネッセコーポレーション(コーポレーション)の情報漏えいについての再発防止策を含む調査報告書(報告書)が公開されました。

 本報告書は9月12日にコーポレーションからベネッセホールディングス(ホールディングス)に提出されたものを公開用にまとめたもので、一般の方にベネッセの取組を紹介する目的で公開されたものです。

 報告書で記載されていることは概ねこれまでに公開されていたもので、調査結果については特段新しいものはありません。ただ、情報が二転三転している部分があったのと、多くの情報が公開される中でソースがわからなくなっているものがありましたので、それをまとめて読めるという点で良い報告書となっています。

 報告書の内容としては一般的で、調査への経緯、調査主体、調査概要、再発防止について記載されています。

 前述したとおり、この報告書は最終報告書の一部であることが原因かと思いますが、全体を通して読んだ時に記述が足らないところや内容の伝わらないところ、調査対象が不明瞭なところがあります。しかし、これもできる限り早く公開したいという思いがあったとすれば、許容できる範囲の内容だと思います。

事故が起こった最大の原因と再発防止の方針

 再発防止策を検討する際に重要なのは事故が発生した原因を追求することです。その脆弱性を低減することが情報セキュリティマネジメントにおいては重要なポイントなるため、本報告書でもその点について調査が実施されています。

 ベネッセにおける情報窃盗・漏えい事件では、USB経由でスマートフォンを利用して情報が流出したことなど、技術的な問題について議論がされていますが、実はそこが本質的な原因ではありません。

 最も重要な問題は「実際に事故が発生してから1年近くの間、その問題に気が付かなかったこと」です。事故が発生しているにもかかわらず、被害の拡大を抑えることができなかったことが問題です。

 つまり、本報告書を読んでいくにあたって、重要なポイントとなるのは「事故を未然に防ぐ」ということだけではなく、「事故の発生にいち早く気づくことができるか」という点について、どのように調査され、再発防止策が提案されているかです。

 特に本報告書では随所にシステムログや通信ログについて、また定期的な監査について記載されており、それが妥当であるかなどを判断しながら読み進めていくと良いかと思います。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]