株式会社システムエグゼ

コラム

COLUMN

製品名:SSDB監査

一連の”個人情報漏洩事件”について考える

(2014年7月発行「エグゼ通信86号」掲載)

この7月、大規模な個人情報流出が大きなニュースになったことは、みなさん記憶に新しいかと思います。今回の事件は、正規のアカウントを持った内部の者による犯行ということもあり、社会の注目も一際高いものとなっています。

当コラムをお読みいただいている皆様の中にも、「自分の会社は大丈夫だろうか?」とお考えになられている方がいらっしゃると思います。弊社も情報セキュリティ関連の製品を取り扱っておりますが、事件後からお客様からの問合せ数が伸びており、改めて世間の注目度の高さを実感しております。

そこで今回は、一連の事件についての見解と対策について考えてみたいと思います。

まず初めに情報セキュリティでは「ID管理」及び「ログ記録」が行うべきこととよく言われます。
当コラムでは今回の問題に当てはめ、その効果について考えてみたいと思います。

ID管理の必要性

「ID管理」の基本は、各ユーザーに対し、必要最低限のアクセス権限を与えることと言われます。今回の問題では、個人情報にアクセスした人間を早期に特定できたことから、「発見」という意味ではID管理の効果が表れていると考えられます。

しかし、「予防」という観点から考えますと今回使用されたユーザーが本当に必要最低限のアクセス権限で運用されていたのか疑問を持たざるを得ません。

このような問題を防ぐためには、ユーザーとそのユーザーに割り当てている権限を定期的に見直すといった運用ルールを明確にし、実行することが必要となります。

正しい「ログ管理」とは

「ログ記録」の基本は「行われた操作について説明責任が果たせる情報を記録する」ことです。今回の問題では、個人情報にアクセスした人間を早期に特定できたことから、ID管理とともに「どのIDを使ってどの情報にアクセスされたのか」という情報は記録されているように思われます。

一見、対策として十分に思われますが、日を重ねるごとに漏えいした情報の数が増えていく現状から見ますと、漏洩範囲が正確に把握できておらず、必要な情報が不足していると考えざるを得ません。

このことより、記録されているログの内容を定期的に確認し、「必要な情報が洩れなく記録されているか」ということを確認することが重要だとおわかりいただけると思います。

上記2点の定期的な確認を行う上で最も有効なのが「DB監査」を行うことです。

「誰が・いつ・どのようなデータを・どれくらい・どのような形式で持ち出したか」を把握し、レポート形式で出力し保存しておくことで、運用ルールの見直しやログ管理の適正化を容易に実現することが可能となります。

また、不測の事態が発生した際にも「DB監査」を行っていることで、発生日時や原因を早期に特定することが可能となります。

まとめ

いかがでしたでしょうか?

本日は一連の事件に関与して「ID管理」と「ログ管理」という観点での見解と対策についてご説明をさせていただきました。

情報セキュリティには、様々な視点や考え方があり、難しく感じることも多々あるかと思いますが、基本は「DB監査」をしっかりと行うということではないでしょうか。

もし、貴社で「DB監査」を行っていないということであれば、これを機に社内の情報セキュリティの観点から「DB監査」を検討してみてはいかがでしょうか。

筆者の紹介

DB監査製品に関わり、早7年。

最近では開発よりお客様の監査要件を一緒に考えることが多くなり、各種監査基準のドキュメントの難解さに悪戦苦闘する日々を送る。

最近少し夏バテ気味です(笑)