クオリティ
導入だけでは安心できない

大手証券会社の情報漏えい事件からみるセキュリティ対策とは

　大手証券会社のシステム部元部長代理が、100万名もの顧客情報を不正に取得し、5万名の顧客情報を名簿業者に売却したという情報漏えい事件が起きた。これだけの情報が漏えいしてしまうと、その回収は困難を極める。顧客からの信用を失い、個人のみならず法人顧客からの取引停止の動きも活発化しているようだ。元社員は、顧客情報を名簿業者に販売することで利益を得ていたようだ。しかし、今回の事件を幕引きするためには、さらに莫大な経費がかかる。企業にとって大きな損失になることは、火を見るより明らかだ。

　現在、企業には顧客情報など個人情報を含む膨大な機密情報が蓄積されている。企業はこれらの機密情報を活用し、多くの業務を遂行している。

　機密情報を扱う部署のクライアントPCには、ロギングツールが導入され、持ち出せる情報もしっかり管理されていなければならない。今回の事件を引き起こした企業もロギングツールを導入していたようだが、それでも機密情報は持ち出され、転売されてしまった。つまり、セキュリティツールを導入しただけでは、情報の漏えいを防ぐことはできないということになる。情報漏えいを防ぐには、操作ログを取得し、問題がある操作を記録した瞬間にアラートを表示することが必要だろう。アラートは、操作をした本人とログ管理者の双方に通知することで、漏えい事故を未然に防ぐことも可能だ。

　また、定期的な監査を行いながらレポートを出力することで、企業システムを常に可視化しておくことも必要だ。

　クオリティが提供しているソリューションを活用すれば、ログ収集やアラートの表示、企業システムの可視化も可能となる。導入するだけではなく、きちんと「運用」できるため、情報漏えいリスクは大幅に低減する。

　ロギングツールである「QOH」は、QOHコンソールのログ取得機能とログ閲覧権限、設定変更権限が分離されており、コンソール利用者の不正操作や業務外のログ閲覧も禁止できる。管理者の権限として「システム管理者」と「ログ管理者」を設け、職務分掌を実現するソリューションとなっている。また、企業システム内に散在している個人情報／機密情報は、1か所に集め一元的に管理したほうがリスクを把握・分析でき、現実的な漏えい対策を施すことができるはずだ。しかし、情報を1つずつ目で追っていっては、時間と工数がかかるうえ、漏れも出てしまう。このような場合には「eX PDS」を活用するといい。「eX PDS」は、企業内に散在している個人情報と機密情報を棚卸しするソリューションだ。個人情報/機密情報と判断したファイルを指定したフォルダに自動的に移動・格納することも可能となっている。

　情報漏えいを防ぐためには、情報の書き出し制御も不可欠だ。これは「eX WP」を活用するといい。「eX WP」は、USBメモリなどの外部媒体に情報をコピーする際制限を行うソリューションで、情報漏えいリスクを大幅に低減できる。また、今回リリースされたVer.4.0では、書き出しUSBメモリを指定できる機能が追加されたことで、セキュアな暗号化USBメモリを指定し、USBメモリの盗難や紛失による情報流出のリスクも低減できるようになった。また「QAW／QND Plus」や「QOH」、「eX PDS」で収集した情報を元にセキュリティレポートを作成するセキュリティ監査・ログ分析ツール「eX Report」を使えば、企業システムを可視化できる。

　セキュリティツールをきちんと運用していなければ、大きな被害を生む。事件・事故を引き起こした企業と同じ轍を踏むことなく、教訓として生かしたい。


クオリティ＝http://www.quality.co.jp/