斜めうえ行く「オクノ総研 WEBLOG」

ID:99799
斜めうえ行く「オクノ総研 WEBLOG」
by オクノ総研
[1220779hit]

■個人情報流出事故は内部管理の甘さによるもの
某B級クレジットカード会社から郵便物が届いた。

「ああ、またダイレクトメールか・・・」と、思い、開けずに捨てようとした。

今更、B級のクレジットカードを作ってもしかたがない。

封筒には「重要」と書いてあった。
「『重要』なダイレクトメールだろうな」と思いつつ、念のため封を開いた。

封を開くと「500円」のギフトカードが入っていた。

「この度、誠に遺憾ではございますが、あなた様の個人情報の一部が社外に流出した可能性がありますので、ご報告申し上げます。多大なご心配をお掛けすることとなり、謹んでお詫び申し上げます」

・・・思い出した。

数年前に乱発されていた政府主導の電子マネーの実証実験に参画した際に作ったカードだった。
このカードは、随分前に解約し、細かく切り刻んで捨てていた。
電子マネーの実証実験がブームだった頃、僕はありとあらゆる実証実験にモニターとして参加していた。
その度に専用クレジットカードを作っていた。
そのおかげで、今でも自宅には無駄なICカードリーダー等の電子マネー周辺機器がある。
税金の無駄遣い。

実証実験で使用したカードは全て解約したのだけれど、僕の個人情報はしっかりと、クレジットカード会社に残り、流出していたのだった。

今や個人情報が流出していないクレジットカード会社を探すほうが困難なくらい、個人情報流出事件が続いている。

そして、そのほとんど全ては単なる「アホミス」である。

インターネット上での個人情報流出事故は個別には起き得るが、大量の情報流出は起きない。
特にネットワーク上での事故はほとんどあり得ない、と言っても良い。
犯罪者にとって、盗む効率が悪いからだ。
パケットを拾って、チマチマと個別のクレジットカード情報を集めたところで、旨味は少ない。
クレジットカード情報の流出経路は２つ。

①外部からのアクセスによる流出
②インターネットショップ、クレジットカード会社等における内部流出

①外部からのアクセスによる流出
マスコミや被害企業は「ハッカーによる犯行」と言うが、外部からのアクセスは、「ハッキング」と呼べるほどのものではない。
ほとんどの場合、サイト管理者のミスである。
「URLを直接打ち込めば個人情報が丸見え」、とか、「CGIのパーミッションの設定ミス」等の単なるアホミス。
サイト管理スキルのない「ド素人」がサイト管理をしている場合である。
そして、そのアホミスはネットの掲示板を通じて、あっという間に広がる。
確かにサイト管理に特別なスキルは必要ない。
だが、「ド素人」がサイト管理をしている企業は多すぎ。

「ふぁいあーうぉーる？何それ？」
「ぱーみっしょん？聞いた事ないです」
「ウィザードのボタンを押して、ソフトについていた素材集でサイトを作りました」

スキル的に「ド素人」でも構わないが、ほんの少しでいいから、勉強してくれ。

②インターネットショップ、クレジットカード会社等における内部流出
これは外注管理の無茶苦茶さと、内部管理の甘さから来る。
内部流出なので、システム管理の問題ではない。
人的なセキュリティー管理の問題である。
個人情報の入ったシステムは完全に他のシステムと切り離し、フロッピー、CD-R、DVD-R等のリムーバブルメディアの接続インターフェイスは全てはずす。
USBやIEEE1394の端子もはずすか、接続できないようにする。
システムはシステム管理者以外は「物理的に」アクセスできないようにする。
外注の人間がシステムにアクセスする場合、こんなこと常識だと思うのだけれど。

僕たちがコンサルティングを行なう場合も同様。
クライアント企業の持ち出し不可の機密情報を取り扱う場合、クライアントに出向き、クライアント先に部屋を用意してもらって仕事をする。
厳重な管理が必要とされる場合は、PC類もクライアントに用意してもらう。
外部からのPC、リムーバブルメディア、AirH^等は持ち込み禁止。
今後は携帯電話もPC化しつつあるので、持込禁止になるかもしれない。

[5]続きを読む

09月04日(土)

[1]過去を読む
[2]未来を読む
[3]目次へ

[4]ｴﾝﾋﾟﾂに戻る