DNPから個人情報863万件以上が流出、「悪意を持った内部者」への管理が不十分 :ITmedia エンタープライズより

YahooBBの情報漏洩が470万件と言われているが、今回は遙かに上回る件数だ。

漏洩の単位は、件数がすべてではない。漏洩した内容によっては1件でも重大だ。

この863万件は、DMなどの発送目的で預かっていた業務委託された情報で43社の顧客情報だったようだ。

大日本印刷の広報担当者は、一連のセキュリティ対策は職場への物理的な出入りや外部侵入の監視には効果があったが、内部者による犯行を防止するには十分ではなかったと述べた。

今回の事件はDNPだから発生した問題ではない。どこの企業も十分に発生する可能性が高い問題だ。

外部に対する防衛は大前提の話だ。特にインターネットなどのネットワーク周りはそうだろう。入退室管理も外部からの侵入を防ぐためのゲートだったりする。

しかし、よくよく考えて見れば内部からの脅威のが余程高いものであるのだ。

過去に何度も書いていることで、何度も同じ事を言っているなぁと思われるだろう。

今更内部のセキュリティに対して、どうこう言うつもりはない。

対極にあるものを常に考えなければならないって事だけだ。

外部があれば内部がある。情報であればコンピュータと扱う人間がいる。

必ず2つ以上のものがセットであるのだ。

2つ以上のものがあれば、その両方を見なければ、対策しなければ、一方通行のことしか出来ない。

YahooBBでも、内部から持ち出した情報だった。その時も委託先社員だったが、企業で言えば1社だけの問題だった。

今回の問題として重大な事は、預かっている43社の情報で、その先には43社の顧客がいる。顧客からすれば43社に対してすべての矛先は向かう。

このようにニューズになっても、DNPに委託していようが、どんな管理をしているところに委託していたのか?って顧客からすれば思うこと。

カード会社などは今回の漏洩で不正利用等が発生した場合、顧客に対し全額を損害するようだ。既に一部の情報がネット通販などで不正利用されている。

悪意がなくとも、何かのきっかけで悪意を持ってしまう誘惑もあるだろう。

極端な話だが、最近国内でステンレスなどの盗難が相次いでいる。誰が結んでいるのか?何とも言えないが、とある国では同じものを盗むと死刑になるようだ。

この盗難で私が怒りを思うのは、手すりなどの本当に必要な人のために設置されたものを、素材だけが欲しく盗難する連中の何も思わないこと。何も思えばそもそも盗まないのだろうけど・・・

で、何が言いたいかと言うと、盗んだら究極な罰則があればしないってこと。

トレードオフの話をよくするが、盗むことと引き替えのトレードオフに死刑のような究極な引き替えがあれば、それでも危険を犯して盗むのだろうか?

ここには、日本の情報漏洩に関する法整備が遅れていることも原因にある。

変な言い方になるが、この盗んだ社員に今回の損害すべてを追うことは、まず不可能な話だ。損害は取れるところから取るしかない。また企業の管理責任になるし、取れることは企業からしかない。これは連鎖的に一方通行で繋がっている。

人の対策が重要であることも、しつこく書いているが・・・

人的対策を考える上で弱点になることがある。それは考える人が守る側だけの視点でしか考えないから発生する。想定外でも、そんなことあるのか?ってことであっても、起きる以上は考えなければならない。そんなことは起きないだろうとか、まさかそんなことは・・・なんてことまで、狙う側から考えなければ守りきれない。

本当の有効策は、もしも自分が同じことをされたら、絶対やりたくない。

絶対にそんなことをされたら殺意も芽生えない。ような心理的対策が一番の有効策だ。

一番イヤなことをすることが、人的対策のもっとも有効な方法である。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサーオルタナティブ・ブログ
日々起きる目の前の「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て、考えるように意識しています。 人の「こころ」に興味を持ち、仏教と密教からヒントを得るべく現在研究中。