2005年4月の個人情報保護法完全施行に向け、内部犯行による情報漏洩の防止策を強化する企業が出始めた。ソフトバンクBBとぷららネットワークスの2社がデータベースの操作を監視するツールを相次ぎ導入した。両社とも正当なアクセス権限を持つ担当者による犯行を未然に防ぐ。
 |
| 表●内部犯行を防止するため、データベース操作の監視ツールを導入したユーザー企業の例 |
ソフトバンクBBとぷららはツール導入の狙いとして、正当なアクセス権限を持つ担当者によるデータ持ち出しの防止を挙げる。万一、情報漏洩が起きれば顧客の信用を大きく損なう。また流出経路が特定できなければ信用失墜に輪をかける。両社がまだ実績の少ないツールを導入してまで、データベースの正当なユーザーを監視対象としたのは、そうした危機感からだ。
ぷららを例にとると、クライアントやネットワークの情報漏洩対策を進めてきたが、抜けがないようにするには「データベース管理者の行為も監視する必要がある」(ネットワーク管理部の長谷部勇チーフ)と判断した。ソフトバンクBBもサーバーOSの操作ログを監視するツールを別途利用しているが、「それだけでは、どのデータにだれがアクセスしたかといった細かい操作履歴を把握できない」(同社のシステム担当者)として導入を決めた。
ソフトバンクBBはIPLocksを使って情報漏洩のリスクを限りなくゼロに近づけたい考え。IPLocksは一定時間ごとに不審操作の疑いがある命令が実施されていないか監視し、その結果を管理者に電子メールなどで通知する機能を備える。
ぷららが利用するPISOも同様の機能を備える。加えて同社はデータベースの操作履歴を詳細に記録できる点を評価した。万が一、情報が漏洩しても、過去に実施された検索の条件をきちんと把握しておけば、漏洩内容から流出経路を特定しやすいからだ。同社はデータベース・ソフトにOracle8iを利用しているが、PISO採用を決めた7月の時点で他のツールは検索条件を細かく記録できなかった。
ソフトバンクBBとぷららは個人情報保護法の完全施行をにらんで導入を進めている。ソフトバンクBBは12月に実地検証をかねて本運用を開始した。顧客情報が入っている重要なデータベースから優先的に適用していく。最終的な監視対象はサーバー10台を超える見通しである。導入にかかるコストは公開していない。
一方、ぷららは2005年4月までに認証用や決済用など計3台のサーバーに適用する計画だ。こちらは導入コストとして約1000万円を見込んでいる。
本記事は日経コンピュータ2004年12月27日号に掲載したものです。
同誌ホームページには,主要記事の概要や最新号およびバックナンバーの目次などを掲載しておりますので,どうぞご利用ください。
・日経コンピュータ・ホームページ
・定期購読お申し込みや当該号のご購入
