報告書の概要
7月に発覚したベネッセコーポレーション(コーポレーション)の情報漏えいについての再発防止策を含む調査報告書(報告書)が公開されました。
本報告書は9月12日にコーポレーションからベネッセホールディングス(ホールディングス)に提出されたものを公開用にまとめたもので、一般の方にベネッセの取組を紹介する目的で公開されたものです。
報告書で記載されていることは概ねこれまでに公開されていたもので、調査結果については特段新しいものはありません。ただ、情報が二転三転している部分があったのと、多くの情報が公開される中でソースがわからなくなっているものがありましたので、それをまとめて読めるという点で良い報告書となっています。
報告書の内容としては一般的で、調査への経緯、調査主体、調査概要、再発防止について記載されています。
前述したとおり、この報告書は最終報告書の一部であることが原因かと思いますが、全体を通して読んだ時に記述が足らないところや内容の伝わらないところ、調査対象が不明瞭なところがあります。しかし、これもできる限り早く公開したいという思いがあったとすれば、許容できる範囲の内容だと思います。
事故が起こった最大の原因と再発防止の方針
再発防止策を検討する際に重要なのは事故が発生した原因を追求することです。その脆弱性を低減することが情報セキュリティマネジメントにおいては重要なポイントなるため、本報告書でもその点について調査が実施されています。
ベネッセにおける情報窃盗・漏えい事件では、USB経由でスマートフォンを利用して情報が流出したことなど、技術的な問題について議論がされていますが、実はそこが本質的な原因ではありません。
最も重要な問題は「実際に事故が発生してから1年近くの間、その問題に気が付かなかったこと」です。事故が発生しているにもかかわらず、被害の拡大を抑えることができなかったことが問題です。
つまり、本報告書を読んでいくにあたって、重要なポイントとなるのは「事故を未然に防ぐ」ということだけではなく、「事故の発生にいち早く気づくことができるか」という点について、どのように調査され、再発防止策が提案されているかです。
特に本報告書では随所にシステムログや通信ログについて、また定期的な監査について記載されており、それが妥当であるかなどを判断しながら読み進めていくと良いかと思います。
