ベネッセ情報漏えい

ベネッセの報告書を読んで浮かんだ違和感 - (page 3)

河野省二(ディアイティ)

2014-10-07 07:30

いつから実現できるのか、実現可能性はどの程度か

 データベース管理における方針については適切ですが、残念ながらこの英断もすぐに実施という訳にはいかないでしょう。

 なぜなら、データの持ち方を変えればシステムはすべて変更しなければいけないからです。もともとデータを分散して持つことを前提にしていたのですから、そのままデータの参照元を変更しただけで運用ができると考えるのは無理があります。

 まずは業務の精査、そして適切なアクセス権付与の計画、アクセス制御における説明責任のための仕組みづくり、そしてサービスとしての実装という形で進めていく必要があります。

 私がこの5年ほど、クラウドセキュリティを専門として、ガイドラインや国際標準を作っていく中でのディスカッションで理解できたことの1つに、“システムのサービス化なくしてガバナンスはない”という原則があります。

 今回のデータベースの一元管理を例に取れば、データ管理サービスをホールディングスが担うということです。もちろんこれに伴うID管理もホールディングスで担うということになります。少なくとも、この2つ機能を事業会社の改変などに対応できる形でサービス化する必要があります。

 システムログや通信ログ、本報告書ではSQLコマンドなどのモニタリングなどを実施するとありますが、それはガバナンスの機能の一部ですし、システム単位で担うことであり、ガバナンスとしてはごく一部の機能ということになります。

 つまり、全体を管理するためにはさらにシステム全体を見直し、システムのそれぞれの機能のサービス化、サービス利用のモニタリング、モニタリング結果のリアルタイムなレポーティングなどが必要になります。

 しかしながら、本報告書の内容ではこれが定期的な監査ということで、事故や事件の早期発見にはつながらない形にまとめられているのが残念です。

理想的な環境づくりのために実施が望まれること

 本報告書では、データベースへのアクセス制御やデータのグルーピング、シンクライアントの導入、ログのモニタリング、責任の明確化などが記載されていますが、これらの連携についての内容が不足しています。

 組織体制に関する再発防止策の中に、内部不正対策の基本方針の策定、組織上の責任の明確化(資質、経験のある責任者の任命)、監視機能の組織的強化、個人情報に関する組織上の責任の明確化、シンフォームの組織・人事改革、実効的な監査、第三者期間の設置などといったことが記載されていますが、それを実現するための方法についてはまだ検討ができていないようです。

 実はこの記載が本報告書の内容の実現についての信頼性を低下させているように感じてしまいます。対策の1つひとつが技術的なものに寄りすぎていて、本来求められているグループ全体のガバナンスというものについての欠如をいっそう感じさせているように思えてなりません。

 きつい言い方をすれば、どの対策も枯れた技術ではあり信頼できるものではあるものの、対症療法的なものに感じられ、これからもサービスを提供し、事業を拡大していくためのセキュリティ対策ということにつながっていない様に感じられてしまうのです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]