皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第168回目は、新聞・ニュースの報道でも大きく取り上げられている情報セキュリティ事件について、お伝えします。
ベネッセホールディングス(HD)の個人情報漏洩問題が、連日報道機関等で大きく取り上げられて、波紋を広げていますね。
ベネッセコーポレーションは、2014年7月9日(水)に、同社の以下の通信教育サービス等に関する顧客情報が、約760万件、外部に漏洩した事を確認したと発表しました。
・こどもちゃれんじ
・進研ゼミ
・東大・京大特講
確認できていない分も含めると、最大で約2,070万件の個人情報が、漏洩した可能性があるとされています。
漏洩が確認された個人情報は、同社の顧客、または過去に顧客だった世帯の約760万件で、以下の項目となります。
(過去に顧客でなかった世帯は含まれない)
・郵便番号
・住所
・電話番号
・保護者の名前(漢字)
・保護者の名前(フリガナ)
・子供の名前(漢字)
・子供の名前(フリガナ)
・子供の生年月日
・子供の性別
クレジットカード番号、銀行口座情報、成績情報等の漏洩は、確認されていないとされています。
お~! 家の子供たちも、しまじろうの「こどもちゃれんじ」やっていたよな (*_*;
もう下の娘も就職して、22歳になっているから、DBにデータ残っていなかったか? たとえ残っていたとしても、引っ越しもしているし、子供の年齢を考えても、あまり価値はないと思われますが・・・
直接問い合わせたら、漏洩したかどうか分かるのかな?
また、1世帯を1件とカウントしているため、少なくとも保護者1人と子供1人が含まれているので、人数は件数の2倍以上となって、1,520万人~2,000万人分の個人情報が漏洩した計算となります。
漏洩した可能性のある件数まで考えると、約2,070万件の2倍以上、4,140万人~5,000万人分が対象になります。
この計算で行くと、2013年のヤフーによる最大2,200万件の流出を超える可能性もあって、過去最大規模の個人情報漏洩と報道されています。
情報漏洩が発覚したきっかけは、顧客からの苦情が急増した事によるものです。
つまりそれまでは、内部に持つ仕組みでは、情報漏洩を感知できなかった事になります。
犯行は、セキュリティホールをついた内部犯罪だと、特定されました。
犯人は、ベネッセホールディングス100%出資の子会社「シンフォーム」の、下請け派遣SE(システムエンジニア)で、他の記憶媒体では、プロテクトがかかるPCに、スマートフォンの充電兼データ転送ケーブルをつなぐとコピーが可能になってしまうセキュリティホールを利用したものだそうです。
現在は、外部からのアタックについては、色々な技術や仕組みが導入されているため、情報漏洩事件&事故は、うっかりミスなどを含む内部からの物が多くなっています。
その中でも悪意を持った内部犯罪率が、高まっていますが、日本では、これに対する意識が未だに低いように感じられます。
日本の組織の根底にある考え方(文化風土)が、時代の流れと変化に対応できていないと言う状態です。
そのため、情報セキュリティの仕組み作りにしても、この部分への検討が、甘くなりがちです。
今回の事件も、言い方は悪いですが、常に全員を疑って、DBへのアクセス解析を短い周期で定期的に実施する仕組みにしていたら、もっと早く発覚していたはずです。
せっかく監査証跡があっても、取得するだけの放置状態で、それを解析する仕組みを構築していない企業は多いです。
日本の古き良き時代は、終身雇用制度で、1社に就職するとその会社に忠誠を誓って定年まで働く、就職でなく就社でした。
どんな人事異動にも、文句や不平不満を言わず対応するゼネラリストが好まれて、技術を基本としたスキルを磨いて、スペシャリストとして生きていく人は、特殊な職種での例外でした。
今でも、公官庁や役所、大企業や歴史のある企業には、この意識が根強く残って、古い時代遅れの制度を見直せないでいる様に感じられます。
性善説を前提にするために、知っている人物の方が安全だと考える傾向が強く、縁故やコネによる採用も多くなり、大家族の村意識が醸成されていました。
今では信じられませんが、私が大学を卒業して就職する頃は、一部上場の企業でも、就職の内定者を興信所を使って調査すると言う事が、平然と行われていました。
現在は、これらの事はとうに過去の事となって、性悪説を前提にしないと、情報セキュリティは成り立ちません。
その1つの例として、皆さんも、入社時や退職時には、情報セキュリティや個人情報保護に関する色々な誓約書を書いたと思います。
今回、一般の報道では、犯人はSEで技術があって、DB(Data Base)にアクセスできる特殊な権限が与えられていたから情報を入手できたとされるニュアンスで、伝えられています。
しかし、RDBMS(Database Management System)は、誰が(どのIDを使って)どのようなオペレーションをしたかを記録する監査証跡機能を持っていますので、情報セキュリティにも詳しい本当の技術者である人なら、自分のIDを使用してアクセスするような幼稚な事はしなかったと思います。
また、業務上個人情報の参照を必要とする職務の人には、DB内の個人情報への参照権限が付与されているのが普通です。
参照できるという事は、それを持ち出す方法は、以下の少数の事例を見ても分かるように、いくらでもあるという事です。
・参照した情報をメモに書き取る
・参照した情報をコピー&ペーストして保存する
・参照した情報を見てメールを作成して送信する
・参照した画面のハードコピーを取る
・参照した情報を印刷する
・参照した情報を画像で保存する
・SQLでselectする
単純に人や役割(ロール)に参照権限を与えずに、まずDBを使用するシステムにログインする権限を与えて、そこから起動されたアプリケーションに特殊な権限が付与されていて、その権限でしか個人情報を参照できないようにしている等の、工夫はしていると思いますが。
この漏洩事件は、多くの要因を含み、情報セキュリティ対策の難しさと、限界を表しています。
まず、Pマーク(プライバシーマーク)やISMS(情報セキュリティマネジメントシステム)の認証を取得していても、100%はあり得ないという事です。
個人情報を扱う企業の多くは、取引企業を含めて、PマークやISMSの認証を取得していますが、安全が保障される訳ではありません。
厳しい見方かもしれませんが、外界の変化に常に対応するようできるだけ努力して管理している企業ですと言うのが、その実態ではないでしょうか。
次に、今回の事件での大きな要因として、名簿業者の存在が挙げられます。
法律の事は、詳しく解りませんが、法の網の目を潜り抜けるダークな部分で、名簿業者が存在して、出所の分からない、または分かっていても目をつぶって、情報を売買している事も事件の発生に大きく影響しています。
何処が情報元かを知らなかったと言えば確認不要で、売買しても罪に問われない?
この事件を契機に、法律を含めて何らかの整備や見直しがされるでしょうか。
更に、要因の1つとして、IT業界の多重構造も見逃せません。
今回も子会社とされている様に、日本ではコーポレートガバナンスを支えるITガバナンスを担保する重要な組織を、社外の子会社として切り出す傾向が強く表れています。
中小企業は、子会社でもなくIS部門も持たずに、ベンダーやSIerに丸投げしています。
そして、その仕事を受けるIT業界は、3次受け4次受けが当たり前の多重構造で、派遣社員も多く、階層の下に行くほど労働条件は悪化します。
以下の様な言葉で○K職場と皮肉に称されて、優秀な人材から嫌われる傾向があるようです。
・きつい
・帰れない
・給料が安い
・規則が厳しい
・暗い
・休暇がとれない
・カッコ悪い
・結婚できない
・恋もできない
・化粧がのらない
・金曜日飲みにいけない
・かーちゃんに申し訳ない
今回事件を起こしたSEが、自分のスキルに見合った高給に満足して、充実した私生活とやりがいを持った仕事をしていたら、セキュリティホールを発見した時の行動は、違っていたのではないでしょうか。
今回の事件で一番影響が大きかったのは、当事者(被害者&加害者?)である、ベネッセホールディングスである事は、間違いありません。
報道されている事だけを見ても、以下の様に多大な影響で、業績の悪化は不可避でしょう。
・新規の販促活動は当面の間停止
・特に情報セキュリティについて詳しくない人々が圧倒的多数の世間での評判の低下
・株価の下落
・莫大な補償費用
・全容が判明し次第、以下のベネッセホールディングスの2名は、責任をとって辞任と発表
*副会長の福島保氏
*取締役兼CIOの明田英治氏
これ以外に、子会社のシンフォームの責任者に、何もないとは考え難いです。
この報道があってから、バタバタと情報セキュリティ関係の確認をしている企業の方は、要注意です。
「明日は我が身」とならない様に、情報セキュリティを含むGRC(Governance, Risk and Compliance)の再点検と再考をしっかりと行ってください。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降は、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/