続報が絶えないベネッセコーポレーションの顧客情報漏洩事件。報道によると、管理を委託されていた外部業者の派遣社員がデータを持ち出し、名簿業者に売ったのだという。こうした事態に対し、ベネッセホールディングスは、改善策を練るべく調査委員会を発足させた(関連記事:ベネッセが顧客情報漏洩事件の調査委員会、1カ月かけ調査し改善策提言)。
日立製作所と国会図書館の事件(関連記事:日立、国会図書館の入札妨害で役員処分)のときも感じたのだが、管理者権限を持っている「身内」の犯行は、果たして防ぎようがあるのか。単独犯だとデータの持ち出しが難しくても、担当チームを巻き込んだ複数犯ならどうとでもなってしまうのではないか。
内部の犯行として大きな話題になったのが、今年2月の横浜銀行でのカード偽造事件だ。ITproではこの事件発覚に合わせて、2012年にNTTデータで起こったキャッシュカード偽造事件の詳細記事も公開した。これらを読むと、過去の経緯から内部犯行を防ぐ策を設けていたにもかかわらず、運用に隙があったことが原因の一つだったと分かる。
セキュリティポリシーや運用マニュアルをいかに厳しく定めても、現実に機能していなければ何の意味もない。自社の重要情報を守る現実的な防護策を立てるために、「自分だったらどうやって痕跡を残さずに重要情報を持ち出すか」を考えてみてはどうだろうか。
同僚と雑談ベースで話し合えば、いろいろな「盗むアイデア」が出てくるだろう。例えば、データは何らかの媒体にコピーしなくてもいい。最近のスマートフォンが搭載している、オートフォーカスが速くて解像度の高いカメラ機能を使えば、そこそこ量のある紙束でも短時間でデジタル化できてしまう。ディスプレイに映った情報をカメラで撮影することもできる。
盗む方法を考える過程で、規定や運用の穴が見えてくる。例えば、アクセスログを取得する仕組みや監視カメラがあったとしても、ログや映像を参照するのが容易でなかったり、保存期間が短かったりすれば効果的ではない。心構えでカバーしきれない「穴」を見つけたら、IT機器やサービスで検知や保護の仕組みを構築できないか検討すればよいだろう。
