ブログ
- 2023/11/27
大手通信会社のUSBメモリ経由での情報漏えい、なぜ発生した?
こんにちは、デジタルアーツ株式会社「FinalCode」製品担当です。
2023年10月、大手通信会社の子会社の元派遣社員が、自治体や企業などの個人情報、およそ900万件を不正に流出させたことが発覚し、新聞はじめWebニュースなどで大きな話題となりました。
今回のブログでは、国産セキュリティメーカー「デジタルアーツ」の製品担当者が
1. 本情報漏えいインシデントの概要とポイント
2. ファイルセキュリティ製品「FinalCode」で対策できる効果的なセキュリティ対策
について、ご紹介いたします!
本情報漏えいインシデントの概要とポイント
大きな波紋を呼んだ今回の情報漏えいインシデントですが、当該通信会社の発表によると、漏えいを行った元派遣社員は、2013年から今年1月までの10年近くにわたって、業務の委託元である59の自治体や企業などが保有する個人情報を、不正に流出していたことが分かりました。
また、元派遣社員は情報が流出した期間に、名簿業者から1,000万円を超える金銭を受け取っていた疑いがあることも捜査関係者への取材で判明しました。
そして、この問題をめぐっては、漏えいが発覚した自治体や企業などが相次いで明らかになったほか、およそ100万件については依然、委託元が分かっておらず、大手通信会社は現在も特定作業を進めています。
それではなぜ、このような内部不正が10年もの間、続いてしまったのでしょうか。 その原因は「システム・情報資源の管理体制不備」にあるといえます。
通信会社側の発表によると、保守業務を担当していた元派遣社員には顧客情報の入ったサーバーにアクセスする権限が与えられていて、サーバーから自身で業務使用する端末に情報をダウンロードすることが可能であり、当該社員は、その端末に自身のUSBメモリを接続し、情報の持ち出しを図りました。さらに、この社員がサーバーにアクセスした記録は残っていましたが、チェックが十分でなかったため、不正には気づかなかったとのことです。
本件について、大手通信会社は「セキュリティルールは設けていたが、きちんと運用できていなかった」との説明がありました。
ファイルセキュリティ製品「FinalCode」で対策できる効果的なセキュリティ対策
今回のインシデントでもあったように、いくら社内で「セキュリティルール」を設定していても、その運用がしっかりと為されていなかったり、ルール自体に穴があると、今回の様な内部不正や人的ミスを起因とした情報漏えいはどの会社にも発生してしまうリスクがございます。
そのため、情報漏えいが“起こらないルール作り”ではなく、情報漏えいを“させない仕組み作り”が重要といえます。
弊社ファイルセキュリティ製品である「FinalCode」では、“情報自体の保護”を行うことで、情報漏えいを“させない仕組み作り”が可能です。
上記情報漏えいインシデントでは、元派遣社員が顧客情報の入ったサーバーにアクセスする権限が与えられており、その情報をUSBメモリに移管することで情報漏えいが行われましたが、漏えいした顧客情報が「FinalCode」で暗号化されていれば、不正持ち出しが行われてしまったとしても、あらかじめ指定した閲覧者および端末以外ではファイルを閲覧/開封することはできません。
さらに「FinalCode」で暗号化したファイルを閲覧/編集したユーザーのログは、いつ(アクセス日時)どのファイルに(ファイル/フォルダー名)誰が(操作実行者のメールアドレス)どこから(アクセス者のIPアドレス)何をした(操作対象)まで詳細に確認することが出来るので、ファイル管理の証跡をしっかりと残すことができます。
くわえて、「FinalCode」には暗号化ファイルの閲覧時に、画面上に表示されるデータにユーザー名、開封日時、PC名などを表示することが出来る「画面透かし」機能が搭載されています。
本機能によって、ディスプレイをカメラで直接撮影された場合の漏えいを抑止することが可能です。この画面透かしは文字・色の変更であったり開いたタイミングの情報(日時、IPアドレス等)を表示できる“動的な”画面透かしのため、表示させたい情報が足りなかったり、透かし文字がファイル本文に被り中身が読めないということはありません。
上記で紹介した機能以外にも、「FinalCode」にはセキュアなファイル管理を実現する様々な機能が搭載されておりますので、この機会に、ぜひ「FinalCode」を利用した「ファイルセキュリティ」をご検討ください!
製品一覧
https://www.daj.jp/bs/datcloud/
