ベネッセ情報漏えい

ベネッセの報告書を読んで浮かんだ違和感 - (page 3)

河野省二(ディアイティ)

2014-10-07 07:30

いつから実現できるのか、実現可能性はどの程度か

 データベース管理における方針については適切ですが、残念ながらこの英断もすぐに実施という訳にはいかないでしょう。

 なぜなら、データの持ち方を変えればシステムはすべて変更しなければいけないからです。もともとデータを分散して持つことを前提にしていたのですから、そのままデータの参照元を変更しただけで運用ができると考えるのは無理があります。

 まずは業務の精査、そして適切なアクセス権付与の計画、アクセス制御における説明責任のための仕組みづくり、そしてサービスとしての実装という形で進めていく必要があります。

 私がこの5年ほど、クラウドセキュリティを専門として、ガイドラインや国際標準を作っていく中でのディスカッションで理解できたことの1つに、“システムのサービス化なくしてガバナンスはない”という原則があります。

 今回のデータベースの一元管理を例に取れば、データ管理サービスをホールディングスが担うということです。もちろんこれに伴うID管理もホールディングスで担うということになります。少なくとも、この2つ機能を事業会社の改変などに対応できる形でサービス化する必要があります。

 システムログや通信ログ、本報告書ではSQLコマンドなどのモニタリングなどを実施するとありますが、それはガバナンスの機能の一部ですし、システム単位で担うことであり、ガバナンスとしてはごく一部の機能ということになります。

 つまり、全体を管理するためにはさらにシステム全体を見直し、システムのそれぞれの機能のサービス化、サービス利用のモニタリング、モニタリング結果のリアルタイムなレポーティングなどが必要になります。

 しかしながら、本報告書の内容ではこれが定期的な監査ということで、事故や事件の早期発見にはつながらない形にまとめられているのが残念です。

理想的な環境づくりのために実施が望まれること

 本報告書では、データベースへのアクセス制御やデータのグルーピング、シンクライアントの導入、ログのモニタリング、責任の明確化などが記載されていますが、これらの連携についての内容が不足しています。

 組織体制に関する再発防止策の中に、内部不正対策の基本方針の策定、組織上の責任の明確化(資質、経験のある責任者の任命)、監視機能の組織的強化、個人情報に関する組織上の責任の明確化、シンフォームの組織・人事改革、実効的な監査、第三者期間の設置などといったことが記載されていますが、それを実現するための方法についてはまだ検討ができていないようです。

 実はこの記載が本報告書の内容の実現についての信頼性を低下させているように感じてしまいます。対策の1つひとつが技術的なものに寄りすぎていて、本来求められているグループ全体のガバナンスというものについての欠如をいっそう感じさせているように思えてなりません。

 きつい言い方をすれば、どの対策も枯れた技術ではあり信頼できるものではあるものの、対症療法的なものに感じられ、これからもサービスを提供し、事業を拡大していくためのセキュリティ対策ということにつながっていない様に感じられてしまうのです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]