DIONの漏洩から見る内部管理

KDDI、情報流出事件の調査結果を発表–小野寺社長兼会長は月例報酬20%を3カ月間返上CNET Japanより

KDDIによれば、外部への流出経路は次の通り。まず、2003年12月、DIONの顧客情報を管理するシステムの開発業務を委託した会社の取引先社員C
が、顧客情報を収納したデータ(PC)を自宅に持ち帰って開発作業を行い作業終了後も当該データを保存していた。2006年4月、Cは、顧客情報のコ
ピーを知人Dに渡し
、その後、事件の被疑者であるA、Bに当該情報が渡ったとしている。

そもそも論である理想的なことを言えば、データの持ち出しを不可能にすればいい。

しかし、通常の業務において勤労で真面目な我々日本人は、仕事に精を出してしまう。

簡単に言えば、何も持ち出さなければ何も漏れることない。

それは持ちだしたデータについてだけのこと!

悪意なく、自宅作業の明確な目的をわかって持ちだしたデータであっても、悪意を持ってデータを売買するために持ちだしたデータも、損害で言えば変わらない。

最近のスパイウェア事件でも、キーロガー(キーの入力を記録するもの)から回避するために、画面上に仮想キーボードを用いてキーの入力をマウスで行うものも出てきたが、今度はそのマウスの動きを動画で取るスパイウェアまで出てきた(詳細はこちら)

これはいたちごっこで終わりなき戦いになっている。

同じくデータの持ち出しにも言えること。

もちろん、持ち出し不可能な情報も存在するので、一概に言い切れないが・・・

全部ダメ!ってルールは、とても良い感じはするが、現実に則さない。

技術的に持ち出せない方法も必要だし、それを暗号化して紛失しても復元し難くする準備も必要だ。

最終的にもっとも必要になってくることは、それを使う人間の問題になってくる。

情報についての尺度となる考え方や・教育や啓蒙を知らないのに、どうやって防御出来るのだろうか?

全部ダメは一番良いかもしれないが、ある一部では非現実的であったり、ダメな部分を如何にくぐり抜けるか?敵も味方も考えること。

すべてが就業時間中に終われば少なくとも、この問題だけはクリア出来るかもしれない。

この問題だけは・・・である。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

同じ目線で違う視点から実践的なコンサルティング

一方的に偏ったことを言うだけのコンサルタントは必要ありません。机上の概念は「理想的」ですが、「実践的」ではありません。現状を知り、今必要な方法を探し出し、方向性を定めていくには、お客様と一緒に考え進めていく共同作業になっていきます。

とりあえず「形式だけを求めるお手伝いはご遠慮」させていただいております。そんな無駄なことに資源をかけたところで、大した結果が期待出来ないことを進めることに意義はありません。薄っぺらい結果しか出ないことを経験しています。そして、何よりも「時間・コスト・人材」の限られたリソースを無駄に使うことが出来ません。

お客様と「同じ目線でありながら、違う立場で考えること」が、何よりも大切であると考えます。
次に、視点を変えたアプローチをすることで、具体的策が見えてきます。