許可された利用者による個人情報漏洩インシデントから考える防止対策とPC操作ログ

大手教育関連企業の社内にある顧客データベース情報から、データベースアクセスが許可された従業員により個人情報がファイルに書き出され、その後不正な方法で外部に持ち出されたインシデントの場合。

通常個人情報が含まれたデータベースを扱う部署においてはあらゆるフェーズで流出防止策がなされています。物理的には個人情報を扱うオフィスの入退出を生体認証などで管理するケースもあります。またPCにおいてはワイヤーロックにより持ち出すことができない状態にすることもあります。

今回のインシデントにおいても物理的な対策の他、従業員や業務委託先が利用するPCにおいて認証IDが割り振られ、パスワードを定期的に更新する運用を行っていました。そのPCはシステム管理部門の許可なく仕様や設定を変更できないようになっていました。規定により使用状況がわかるよう操作ログが記録されており、不要なソフトのインストールも制限されていました。
また、外部のオンラインストレージやアプリケーションサービスもURLフィルタリングによりブロックするといった対策も行われていました。もちろん外部メディアへの書き出し制御するシステムも採用しており、随時書き出し制御システムもバージョンアップしていました。

ここまでセキュリティ対策を行っていたにも関わらずなぜ個人情報が漏洩したのでしょうか。

持ち出しを行った従業員はデータベースにアクセス可能な権限を持っていました。アクセス可能なPCで正規な手段でデータベースにアクセスして個人情報をそのPCに保存しました。そしてPCにUSBケーブルを接続して自身のスマートフォンに転送して内蔵したメモリに保存したのです。
このようなインシデントが起きてしまった原因は、上記のようなセキュリティ対策が完全ではないことを意味しています。個人情報を含むデーターベースから情報を抜き出してファイルに保存する行為について、日常的な業務の中で行われていたにもかかわらず見過ごしていた。ファイル化されることによるリスクを軽視したと言えます。
もう一つの原因は、日々進化するテクノロジーの中で最新のスマートフォンに採用されているファイル読み取りの仕組みを外部メディアへの書き出しシステムが制御できていなかったことにあります。最新のテクノロジーに対応して制御できる仕組みであっても100%とは言い切れません。
リスクが常に変化するこの状況において、セキュリティを維持する方法も常に変化していかなければならないと言えます。PCの操作ログはすべての操作を記録することでインシデントが起こった時に原因を特定することに有効な手段です。情報漏洩などのリスクが高いPCにおいては、操作ログをもっとリアルタイムに近い形で活用することが必要になってくると考えます。

◇◇セキュリティコラム◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇

5つの事例から学ぶ、テレワークの情報漏えい対策

テレワークに潜む2種類のリスク。その特徴や回避策とは?

テレワークのセキュリティ対策を強化するための3ステップ

多拠点のセキュリティを統一!社内に繋がっていなくても一括管理

BYODガイドラインとセキュリティ、テレワーク時代の私的端末利用とは

◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇

It's only fair to share...
Share on Facebook0Tweet about this on TwitterShare on LinkedIn0

クラウドサービス製品

  1. SaaS利用とオンプレミス どっちが得か? ITを利用する業務において昨今ではクラウドからSa…
  2. ITの利用形態がオンプレミス型からクラウドサービス型へと急速な変化が起きています。クラウドサ…
  3. QND Premium は、 いかなるロケーションで仕事を行う場合においても均一なデバイス管理…

働き方改革

  1. 再びの緊急事態宣言 テレワーク PCのセキュリティ確保できていますか

    ★ファイヤーウォール内で守られていたPCは、社外利用時は無防備です。 ★テレワーク中のPC…
  2. 感染症対策ガイドラインとテレワークセキュリティガイドライン

    国内および東京都のPCR検査陽性者数は一時期よりも減少し、GoToなどの経済活性…

構成管理/サポート

  1. 感染症対策によるテレワークが想定以上に長引いていると思います。社内にいて業務をPCで行っている時…
  2. PCにインストールしたソフトウェアが購入したライセンス数より多くないか。企業が一人一台のPC…

このサイトをシェア

Share on FacebookTweet about this on TwitterShare on LinkedIn

管理ノウハウ

  1. Thumbnail
    ウイルスやマルウェアなどによるサイバー攻撃の手口は巧妙化しています。また、対策ソフトの定義フ…
  2. 多様なニーズがある大企業や大型企業グループが採用するIT資産管理「QND」の最新バージョ…
  3. Thumbnail
    大企業や企業グループの情報システム部門は、組織ごとに仕様が違うPC管理に最適なツールとしてQNDを選…

セキュリティ対策

  1. IPA 独立行政法人情報処理推進機構が中間報告として公開した「ニューノーマルにおけるテレワー…
  2. 報道によりますと、暗号化されているSSL通信などによる脅威が2019年に比べて2.5倍以上に…
  3. 大手のゲーム会社や電気メーカなどでサイバー攻撃による情報漏洩が立て続けに報道されています。 …
ページ上部へ戻る