情報漏えいはなぜ起きる？

2005年4月の個人情報保護法施行に伴い、セキュリティー対策は企業の必須課題となりました。ところが、金融機関や大手ECサイトなど、企業の情報漏えい事件は後を絶ちません。自社のセキュリティーに自信ありと、胸を張って言える企業は少ないのが現状ではないでしょうか。
今回は、セキュリティー案件に従事する弊社の大西 克美に、なぜ情報漏えいが起き続けるのか、企業はまず何をすべきかを聞きました。

大西 克美
（おおにし かつみ） 1986年に日本IBM入社。公共事業部のSEとして、お客様への提案活動やシステム構築運用支援を担当。その後、UNIXサーバーやインターネット基盤の設計・導入を経て、90年代後半よりセキュリティー案件に従事。2002年よりセキュリティー・アーキテクトとして活動中。

企業のセキュリティー意識の向上、対策は推進されているはずなのに、情報漏えい事件が相次いでいるという印象があります。
NPOのJNSA(日本ネットワークセキュリティー協会)によると、情報漏えい事件・事故の件数は2003年が57件だったのに対し、2004年は366件と大幅に増えています。さらに、2005年4月以降は04年の3-4倍ペースで情報漏えいが報告されており、これまでを大きく上回る件数になることが予測されます。

金融機関と大手ECサイトの漏えい事件が目立つのは、なぜでしょうか？
金融機関の場合、4月以降に報告義務が生じたため、結果的に増えた印象を与えているのでしょう。6月に金融庁が実施した「金融機関における個人情報管理態勢に係る一斉点検」によると、全1,069機関の26.8%にあたる287機関で情報漏えいの事件・事故が起きています。特に多いのが書類かコムフィッシュと呼ばれるマイクロフィルムのデータの紛失です。流出したかどうかさえ不明で、事件に至ったという報告は確認できていませんが、預金者や利用者の信用を損なうことはまぬがれません。
最近話題になった大手ECサイトへの攻撃は、スクリプトキディと呼ばれる、特別な技術を持たずに操作が簡単な攻撃ツールを流用した、興味本位のハッカーが増えていることが背景にあります。以前のハッキングと違い、今はインターネット上に氾濫するツールを使えば、誰でも簡単にハッキングができてしまいます。こうしたツールは国内でも簡単に入手可能で、完全に取り締まることはできないので、各企業が防衛策を講じておかなければなりません。

サイト運営のプロである大手ECサイトが、簡単なクラックやハッキングに引っかかるのは？
あるレベルのセキュリティー対策を講じてはいますが、対策が網羅的でなかったり、適切なレベルでなかった可能性があります。例えば、ファイアーウォールで外部からの侵入を防いでも、情報を暗号化せずに平文のまま格納していたり、適切なアクセス制御が施されていない状態では、カギをかけた家の中にそのままポンとお金を置いているようなものです。どこがセキュリティー対策のゴールなのか、どこに欠陥があるのか、という問題がセキュリティーの担当者にさえ、見えていないのでしょう。

次を読む：セキュリティー対策をしない企業は生き残れない？

コンシェルジュ・サービス

IBM Express Advantageでは中堅企業のお客様のためにコンシェルジュを設けました。

コンシェルジュ・サービスとは？
よくあるお問い合わせとは？
コンシェルジュ・サービスについて簡単にご説明します。

FLASH版 HTML版 Flash版を見るにはAdobe® Flash® Player 7が必要です Adobe Flash Player