#01 情報流出事故はなぜ起きるのか?原因とリスクを考える

2014年7月、2,070万件に及ぶ個人情報流出事件が発覚し、世間を賑わせた。

これまで、多くの企業は『外部』から機密情報や個人情報を守るための対策を講じてきたが、この事件をキッカケに、『内部』からの不正行為からも守らなければならない、
という考えに変わり始めている。

内部からの不正行為にどう対応すればよいのか、その必要性と対策方法について、
日本アイ・ビー・エム株式会社(以下、IBM)の與安隆志さんに話を伺った。
企業は、いま何をすべきなのか、現状を紐解きながら対策方法について考えてみよう。

2015-03-10

情報流出事件はなぜ起きるのか?内部犯行の可能性に気づき始めた企業

與安さんは、IBM InfoSphere Guardium製品の品質保証や導入支援業務を行っている。多くの個人情報をデータベースに蓄積している企業と一緒にセキュリティ対策を推進する、データベース・セキュリティのスペシャリストだ。時代とともに激しく変化する、企業の効果的なセキュリティ対策についてお話を伺った。

S&I 榎本:2014年に『内部犯行者による個人情報流出事件』が起きてしまいましたが、その後、企業のセキュリティに対する意識や対応に何か変化はありましたか?

IBM 與安さん:10年ほど前に起きた『省庁のホームページ改ざん』や、比較的に最近の事件で『ソニーのWebページの脆弱性をついた情報流出』などの情報流出事件は起きていましたが、これまでの事件の多くは『外部』からの攻撃によるものでした。そのため、多くの企業のセキュリティの注意は、『外部』からの攻撃に向けられており、実際にその対策として、ファイアーウォールやIPS(Intrusion Prevention System: 侵入防止システム)をはじめ、Webアプリケーションに特化したWAF(Web Application Firewall)などの導入がスタンダードになっていきました。

しかし、2014年に起きた内部従事者による個人情報流出事件は、内部犯行による情報流出で、これまでの外部攻撃からの防御を主眼にしたセキュリティ対策では、情報流出を止めることができませんでした。この事件をキッカケに、多くの企業が『内部』からの攻撃に対しても対策が必要だと、認識するようになったのではないでしょうか。

S&I 榎本:私自身もいろいろなお客様と会話する中で、企業も内部犯行者による個人情報流出事件をキッカケに、内部の人間による情報流出をどう防げばいいか?という考えにスイッチが切り替わった実感があります。

IBM 與安さん:『内部からの攻撃』への対策にも、種類はいろいろあります。標的型攻撃によるマルウェアやウィルスの侵入対策、改ざん防止などはもちろんですが、その中でもデータベースのセキュリティには、事件以降、特に注目が集まっています。

『システム』全体を通して考えたとき、例えばWebアプリケーションサーバー、データベースサーバーがあり、その先にはデータを保管するストレージがあります。コールセンターであれば、オペレーターやシステム管理者など、データが実際に保存されているデータベースを内部のユーザーがアクセスしているわけですね。

データベースは大量のデータを保管しているわけですが、基本的にSQLという言語を使って単一的なアクセスができるので、量に関係なく溜まった情報を整然と抜き出すことができます。事実として、データベースにアクセスできる人なら、大量の個人情報を短時間で抜き出すことが可能だったというわけです。今回の個人情報流出事件で、内部の人間が不正な操作をする可能性がある、という事実に気づいたと言えます。

情報流出事件なんて、弊社では起きません!』とは言いきれない時代

S&I 榎本:これまでは『社員や協力会社の人が情報を漏らすはずがない』という性善説というか、思い込みがありましたよね。

IBM 與安さん:そのとおりです。「システム管理者は家族のようなものだから、不正を行うわけがない。また教育や運用でカバーできているから問題ない」と仰る上層部の方は結構な割合でいます。しかし、この思い込みを覆すアンケート結果がありました。2014年9月にデータベース・セキュリティ・コンソーシアム(DBSC)が発表した『DBA 1,000人に聞きました』アンケート(引用:データベース・セキュリティ・コンソーシアム(DBSC))によると、“将来、データベースに格納されている情報をこっそり売却するかも知れない”という問いに対して、なんと約10%のDBAが『するかも』と自分は内部不正を行う可能性があると回答しているんです。明確に『しない』と回答した人を除いて、不正を行う可能性を示唆したDBAが35%もいるというのは衝撃的な結果ですね。上層部と現場で、意識にかなりギャップがありますね。

Q.将来、データベースに格納されている情報をこっそり売却するかもしれない。

  • そう思う:3.6%
  • ややそう思う:7.1%
  • どちらとも言えない:13.4%
  • あまりそう思わない:10.4%
  • そう思わない:65.5%

引用:データベース・セキュリティコンソーシアム(DBSC)「データベースのセキュリティ対策およびDBA意識調査」ワーキンググループ

S&I 榎本:同じ資料の中で、“情報セキュリティ上の脅威について”という質問に対しては、『管理者あるいは悪意を持った内部者による不正操作』と回答した人が38%もいます。日常的にデータベースを管理している人自身が内部犯行に脅威を抱いているというのは衝撃的ですし、従業員教育だけでは対処しきれないのではないかと感じてしまいますね。

IBM 與安さん:継続的な教育を通してモラルを保つことも大事ですが、やはりシステムで対策するのは重要だと思いますね。

S&I 榎本:仮にモラルの向上によって情報流出の可能性の9割は防げたとしても、残り1割の可能性を防ぐためには、やはりシステムで防止するということですね。

IBM 與安さん:ただ、セキュリティ対策は、それ自体が会社の収益を生むわけではないので、比較的に投資しにくい分野でもあるんです。

S&I 榎本:とはいえ、個人情報流出が発覚したときのインパクトも大きい。ある事件では、いくらかの賠償金を支払うという形で対応していましたが、被害者の会による集団訴訟にまで発展しかけています。実際には、個人情報1件あたりの保障相場は1万円〜1万5千円と言われています。ですので、例えば300万件の個人情報が流出すると、保障だけで300億円もの金銭的リスクが想定されます。これは企業にとってかなりのダメージですよね。

IBM 與安さん:情報流出が起きたときの企業のダメージは金銭的なものだけではありません。会社の信用問題にも深く影響しますし、顧客との対応に追われますから、本来の業務に割ける時間がなくなります。[賠償金額×被害者数]という単純な計算では説明しきれないダメージがあります。

S&I 榎本:みなさん頭では分かっていらっしゃると思うのですが、それでもセキュリティへの投資は意外にハードルが高いようです。内部犯行が基準になると、自社は絶対に情報流出が起きない!と自信を持って言い切れる経営者は少ないはずです。経営的な主観でセキュリティへの投資はもっと進むべきだと思います。

IBM 與安さん:事故に掛かる対価という観点では、セキュリティ投資はもっと積極的になってもいいと考えます。内部からの攻撃に目を向けた結果、企業にとって『守るべきデータは何か?』が明確になったと思います。今回の事件からの教訓として、IPSやWAFだけではなく、情報が蓄積されたデータベースをどう守るのかという対策がスタンダードになるキッカケを得たと言えますね。

なぜ個人情報流出事故は、拡大してしまったのか?

S&I 榎本:データベースにアクセスできる権限を有する方であれば、誰でも簡単にデータを抜き出すことができるというデータベースの特性が、内部犯行者による個人情報流出事件の原因の1つだと思いますが、この事件がこれほど大きな問題になってしまった原因は何があると思いますか?

IBM 與安さん:情報流出したという事実を、いち早く発見できなかったことが敗因ではないでしょうか。データベースにアクセスできる権限を有する方であれば簡単にデータを抜き出すことができてしまう上に、データが抜き出されたときにすぐに発見することが難しいと言えます。お客様のクレームで初めて発覚した、つまり、情報が拡散しきった状態で発覚したために、事件が大きくなってしまったと言えますね。

S&I 榎本:タイムリーに不正なアクセスがあったことを検知できなかったために、拡散する時間的猶予を作ってしまい、被害が拡大してしまったということですね。

個人情報や機密情報を大量に持っている企業は少なくないわけで、それらを守るためのことはとことんまで遣り尽くすというのが、企業の責任でもあるかと思うのですが、問題はどこまで遣れば終わりなのかハッキリしないのがセキュリティ対策の難しさかもしれません。

IBM 與安さん:内部犯行者による個人情報流出事件が自社で起きないようにするための対策は、データベースに不正アクセスがあった場合に即時に検知し通知できることと、データベースへのアクセス履歴を取得し保管しておくことではないでしょうか。ただ、セキュリティ製品は無数にあり、セキュリティを強化しようとすればいくらでも強化できる一方で、不便さも生じてしまいます。利便性とセキュリティ強度のバランスをとりながら、最適な製品を選んで対応していく必要がありますね。

今回は、2014年に発覚した情報流出事件を例に、その原因とリスクについてIBM與安氏に話を聞いた。次回は、情報流出事故を防ぐために企業がすべき対策を具体的に考えてみよう。

與安 隆志
Takashi Yoyasu

日本アイ・ビー・エム株式会社。データベースアドミニストレーターからサーバー全般のインフラ管理者として従事した経験を持つ。現在は、データベース管理とISMS等の監査対応の経験を活かし、Guardium製品のテクニカルセールスを担当。

榎本 純一
Junichi Enomoto

エス・アンド・アイ株式会社。金融系でのアプリケーション開発およびPowerSystemの仮想化基盤設計、構築の経験を経て、現在は、IBM ソフトウェア製品を中心にしたテクニカルセールスに従事している。

S&Iに問い合わせる