2014年07月18日
2014/07/18 悪いのは誰?ベネッセ情報漏洩
ネタモトは、「<ベネッセ流出>SEを逮捕…秘密複製容疑、1年で1億件」です。
幾度となく、報道されるベネッセホールディングスの原田泳幸会長兼社長の会見ですが、原田泳幸がベネッセHDの会長兼社長に就任したのは、6月下旬の株主総会後の予定だった事から、7月からなのでしょう。
彼にしてみれば、とんだ災難ですが、それも自分の責任として謝罪するあたり、さすがです。私があの立場なら、「俺悪くないし!」が滲み出てしまいそうです。
この事件で少し考えなければならないのは、情報漏洩事件のパターンですが、報道の仕方に問題はあるものの一般の方の認識は「ずさんな個人情報管理と体制に問題がある」という認識でしょう。
2012年のデータではありますが、情報漏洩のパターンは以下のようになっています。
(情報ソースは先日参加した某セキュリティイベントのカンファレンスにて配布された資料を基にしています。)
一般の方は、「情報漏洩」→「5.サーバ攻撃」→「ずさんな管理」と感じがちです。しかし、実際は情報漏洩事件の7%しか存在しないわけです。
今回の案件の内容を少し整理しましょう。(委託するという事はお金を払っているという事です)
1.「ベネッセ」社は、個人情報管理を「シンフォーム」社に情報管理を委託していました。
2.「シンフォーム」社は「ベネッセ」社のグループ企業です。
3.「シンフォーム」社はDB管理(情報管理)を「派遣会社A」社に委託していました。
4.DB管理担当者は「派遣会社A」社に所属するシステムエンジニア(SE)、松崎正臣容疑者です。
「ベネッセ」→「シンフォーム」→「派遣会社A」→「松崎正臣容疑者」
「派遣会社A」社がベネッセのグループ企業であるかどうかは不明ですが、「松崎正臣容疑者」が所属しているのは「派遣会社A」社です。かれは、サーバ攻撃したわけでもなく、単純に個人情報を「自分で作成した電子文書をUSBメモリにコピーするように」コピーできてしまったわけです。
推測ですが、個人情報にアクセスできる端末(PC)は「シンフォーム」社にあるので、端末(PC)やネットワークのセキュリティは「シンフォーム」社が管理すべきです。簡単にUSBメモリにコピーできてしまってのはセキュリティに問題はあるでしょう。
「松崎正臣容疑者」がセキュリティホールに気付いた段階で「シンフォーム」社に報告すれば良かったのです。しかし、それはしませんでした。
もちろん情報漏洩をした「松崎正臣容疑者」の所属する「派遣会社A」社の管理責任は大きいでしょう。しかし、「派遣会社A」社は会社名も不明です。本来、お金の流れから考えると「派遣会社A」社代表と、「松崎正臣容疑者」の契約違反は重大なので謝罪べきは、この2者です。
報道を見る限り、「ベネッセ」社の情報管理がずさんだったとして、ひたすら「ベネッセ」社をたたいていますが、少しお門違いな気もします。
そして私たちIT企業は、前述の「5.サーバ攻撃 7%」の外部から攻撃に対して最大限の努力をしつつも、内部犯行にも対応しなければなりません。日本人の良識は何処へ言ってしまったのでしょうか?
そして、マスコミの知識不足、間違った解釈は、改められる事もなく、垂れ流されるのでしょうか?
幾度となく、報道されるベネッセホールディングスの原田泳幸会長兼社長の会見ですが、原田泳幸がベネッセHDの会長兼社長に就任したのは、6月下旬の株主総会後の予定だった事から、7月からなのでしょう。
彼にしてみれば、とんだ災難ですが、それも自分の責任として謝罪するあたり、さすがです。私があの立場なら、「俺悪くないし!」が滲み出てしまいそうです。
この事件で少し考えなければならないのは、情報漏洩事件のパターンですが、報道の仕方に問題はあるものの一般の方の認識は「ずさんな個人情報管理と体制に問題がある」という認識でしょう。
2012年のデータではありますが、情報漏洩のパターンは以下のようになっています。
(情報ソースは先日参加した某セキュリティイベントのカンファレンスにて配布された資料を基にしています。)
驚くべきは、情報漏洩の発生原因のパーセンテージです。
1.内部反抗 34%
2.データ取扱外注先 19%
3.悪意を持った社員 16%
4.システムの欠陥 11%
5.サーバ攻撃 7%
6.情報共有化時の操作ミス 6%
7.物理的にデータ意掃除の漏洩 5%
8.その他 2%
一般の方は、「情報漏洩」→「5.サーバ攻撃」→「ずさんな管理」と感じがちです。しかし、実際は情報漏洩事件の7%しか存在しないわけです。
今回の案件の内容を少し整理しましょう。(委託するという事はお金を払っているという事です)
1.「ベネッセ」社は、個人情報管理を「シンフォーム」社に情報管理を委託していました。
2.「シンフォーム」社は「ベネッセ」社のグループ企業です。
3.「シンフォーム」社はDB管理(情報管理)を「派遣会社A」社に委託していました。
4.DB管理担当者は「派遣会社A」社に所属するシステムエンジニア(SE)、松崎正臣容疑者です。
「ベネッセ」→「シンフォーム」→「派遣会社A」→「松崎正臣容疑者」
「派遣会社A」社がベネッセのグループ企業であるかどうかは不明ですが、「松崎正臣容疑者」が所属しているのは「派遣会社A」社です。かれは、サーバ攻撃したわけでもなく、単純に個人情報を「自分で作成した電子文書をUSBメモリにコピーするように」コピーできてしまったわけです。
推測ですが、個人情報にアクセスできる端末(PC)は「シンフォーム」社にあるので、端末(PC)やネットワークのセキュリティは「シンフォーム」社が管理すべきです。簡単にUSBメモリにコピーできてしまってのはセキュリティに問題はあるでしょう。
「松崎正臣容疑者」がセキュリティホールに気付いた段階で「シンフォーム」社に報告すれば良かったのです。しかし、それはしませんでした。
もちろん情報漏洩をした「松崎正臣容疑者」の所属する「派遣会社A」社の管理責任は大きいでしょう。しかし、「派遣会社A」社は会社名も不明です。本来、お金の流れから考えると「派遣会社A」社代表と、「松崎正臣容疑者」の契約違反は重大なので謝罪べきは、この2者です。
報道を見る限り、「ベネッセ」社の情報管理がずさんだったとして、ひたすら「ベネッセ」社をたたいていますが、少しお門違いな気もします。
そして私たちIT企業は、前述の「5.サーバ攻撃 7%」の外部から攻撃に対して最大限の努力をしつつも、内部犯行にも対応しなければなりません。日本人の良識は何処へ言ってしまったのでしょうか?
そして、マスコミの知識不足、間違った解釈は、改められる事もなく、垂れ流されるのでしょうか?