編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

パートナーと歩んだトヨタファイナンスの情報漏えい対策

國谷武史 (編集部)

2018-07-31 06:00

 企業や組織にとって情報漏えいを含むセキュリティリスクへの対応は重要課題だが、その取り組みを単独で進めるのは難しい。デロイト トーマツ リスクサービス(DTRS)が行った事業説明会では、トヨタ自動車グループで金融事業を展開するトヨタファイナンスが、パートナー選びの観点から情報漏えい対策の取り組みを語った。

トヨタファイナンス 事務リスク管理部長の丹羽浩二氏
トヨタファイナンス 事務リスク管理部長の丹羽浩二氏

 同社の金融事業は、自動車ローンや住宅ローン、クレジットカードなど多岐にわたり、約2700万件の会員情報を保有しているという。事務リスク管理部長の丹羽浩二氏によれば、セキュリティ対策で最も保護すべき対象を顧客情報と位置付け、情報資産の具体的な種類とそれらを扱うITシステムの関係性をマッピングし、セキュリティ対策を講じてきた。

 近年の施策では、2014年に発生した教育系企業での内部不正による大規模な情報漏えい事件が大きな転機になったという。当時は、インターネットバンキングなどのオンラインサービスを標的にするサイバー攻撃の脅威も台頭し、ウイルス対策やID・パスワード認証といった従来型の対応では不十分だと認識し、同年7月に情報セキュリティ専門部署を開設。丹羽氏は、「情報漏えいにつながりかねない脅威を完全に防ぐことは不可能なので、どのレベルで対策を実施すれば、有事の際に説明責任を果たすことができるのかを考えるようになった」と話す。

 専門部署の設置でまず実施したのが、会員向けウェブサイトの不正アクセス対策と業務端末におけるマルウェア対策だった。ウェブサイト対策では、クレジットカード業界のセキュリティ標準となるPCI DSSの要件に基づきIPS(不正侵入防御システム)をセキュリティ監視センター(SOC)で運用し、コンテンツ改ざんなどの脅威を監視する。業務端末では、メールやネットワーク経由でのマルウェアの侵入と、万一感染した場合のマルウェアによる外部攻撃者との通信を振る舞い検知製品で速やかに捕捉する対策を講じた。

会員向けウェブサイトに対する不正アクセスの検知状況。脅威の可視化がポイントになっている
会員向けウェブサイトに対する不正アクセスの検知状況。脅威の可視化がポイントになっている

 この時に丹羽氏は、振る舞い検知製品についてパートナー側の対応に苦慮したという。同社としては、脅威の検知からどう迅速に対応すべきかという点に課題を抱えていたが、パートナー側は製品を導入すれば対策効果が得られるといった調子での提案しかせず、同社が抱える課題の解決に協力する姿勢を感じられなかったという。「例えば、検知ルールをどう工夫すれば良いかといった問題があり、当社側がうまくできなかった面もあったが、感覚的な導入効果は50点くらいだった」(丹羽氏)

 対策効果としては、例えば、無差別にマルウェア感染などを狙うメールは2016年9月に4万件以上を受信したが、同年12月に約9割の従業員のメールアドレスを変更する措置を講じ、1カ月当たり数百件程度に減少するなど、一定の成果が出ている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]