4月に起こった三菱UFJ証券の顧客情報漏えい事件。報道によると、システム部の元部長代理が巧妙な手口で、昨年10月3日から今年1月23日までに口座開設した約149万人分の顧客情報を取得、うち約5万人分を名簿業者に売り渡した。情報漏えい事件は後を絶たない。今回の事件を例にとり、報道されている情報をベースにして、ID管理に詳しい京セラコミュニケーションシステム（KCCS）の責任者に情報漏えい防止の対策を尋ねた。

いま改めて見直したい 情報漏えいに有効な手とは

　三菱UFJ証券の顧客情報にアクセスできたのは8人で、元部長代理も含まれていたが、事件を引き起こす際には別の社員のID／パスワードを使った。そして、顧客情報約149万件を社内サーバーに一時保存し、毎月1回作成するマーケティング情報を記録したCDを作成する際に、偽ってオペレータに顧客情報も保存させた。自宅にCDを持ち帰り、その顧客情報を名簿業者に売却した…というのが今回の手口だった。

　情報漏えいは後を絶たず、NPO法人ネットワークセキュリティ協会の「200年情報セキュリティインシデントに関する調査報告書」によると、漏えい人数は約3053万人、インシデント件数は864件、想定損害賠償総額が2兆2700億円超に達しているという。

　今回の三菱UFJ証券を例にとり、「マスコミに報道されている限られた情報をもとに」という前置きをしたうえで、KCCSの松木憲一・取締役プラットフォーム事業本部長兼プロダクトサービス事業本部長に、システムでどんな対策をとり得るかの見解を尋ねた。

　まず、「突発的作業をする場合は、申請という過程を経て、複数人で作業する必要がある」（松木取締役）と基本的な行動基準をアドバイスする。

　セキュリティの前提として、（1）開発環境と運用環境の分離（2）1人1IDの徹底（3）need to know（情報は必要な人だけに開示する）の徹底（4）DBアクセスログの取得と監査（5）操作ログの取得と監査──の5項目がある。

　突発的作業と日常業務では権限を分け、日常業務はシステム化し、不必要なデータにアクセスできないよう権限を設定することが重要だという。ログイン、ログアウトやその他の操作では、ログを取得することも重要だ。突発的な業務でシステムでは対応できない場合が多く、（1）作業者に加えて第三者の立ち会い（2）事前作業計画書を作成し、複数人のレビューと署名（3）事後報告書を書き、複数人のレビューと署名（4）作業に使用するtelnetやDBアクセスツールの操作ログを記録（5）DBアクセスログの記録、などを対策として挙げた。KCCSでは、こうした操作ログやアクセスログの取得・監査支援などのシステム構築実績を持っている。

　今回の漏えい事件では、どんなシステムにもアクセスできる『特権ID』の隙を突かれた面がある。したがって、システムごとに細かいアクセス権限を付与し、ID管理システムで連携管理したり、突然の作業については電子的に一元管理し、「利用目的」「期間」を踏まえてそのつどID／パスワードを配布すること必要だと松木取締役は指摘する。

　何かが起こった時のための原因究明のためのログ管理や、細かいアクセス権限を行うためのID管理製品は情報漏えいを防ぐためにも重要性を増しそうだ。（鍋島蓉子）