生保で大規模な個人情報流出事故か？！

皆さんご存知とは思いますが、昨日生保A社で大規模な個人情報流出か？と思われるセキュリティインシデントが発生しました。

偶然にも今日私は「ログ活用セミナー」に参加していました。そこでもこうしたインシデントの話題が出ました。
こうしたインシデントの場合に重要になるのが「迅速に」かつ「正確に」影響範囲を確定することだそうです。
その場合に必要になるのがまさにログ。
アプリケーション開発者にとって重要なのはエラーや障害発生時のログ。でもセキュリティインシデントはまったく違うんですよね。この場合に必要になるのは正常な処理をしたログ。でもそうしたログを１つ１つ見ていては今回のようなインシデントは予防できませんし、事後処理もうまくいきません。如何にしてこれはおかしくないか？という正常なログを見つけ出すのが重要だそうです。

そのために必要になるのはテクノロジーと人を観察する目。大規模情報流出は内部の人間によるものの可能性が高いそうです。そうなると正常な処理の中で情報の抽出が行われている可能性が高い。ですからテクノロジーだけでは絞込みは困難です。そんな時に必要になるのが人を観察する目。なんとなく所作がおかしいとかそうしたところから絞込みをかけることがあるそうです。
あとは必要なログがすべて取得されているかどうかもポイント。どこの範囲まで取ればインシデント対応できるのか、といったことが難しい。

今日のセミナーではある程度までデータを統合して処理する製品が紹介されていましたが、最後は機械にはできない人間の分析が必要で、そうした判断のできる人材が少ないというのが実情なようです。

A社の事例でなかなか影響範囲が特定できないのもログ活用が十分できていないのか、それともログはあるけれどもそれを分析する技術者がいないのか、そんなところでしょう・・・。


と、他人事のように言っていますが明日はわが身。そうIT技術者はいつでもそう考えていないと・・・。大変だな～。

個人情報保護の実務と漏洩防止策のすべて

• 作者: 鈴木 靖
• 出版社/メーカー: 日本実業出版社
• 発売日: 2005/03/17
• メディア: 単行本

個人情報保護マネジメントシステム要求事項の解説―JIS Q 15001:2006

• 作者: 鈴木 正朝
• 出版社/メーカー: 日本規格協会
• 発売日: 2006/07
• メディア: 単行本

詳解個人情報保護法と企業法務 第4版―収集・取得・利用から管理・開示までの実践的対応策

• 作者: 菅原 貴与志
• 出版社/メーカー: 民事法研究会
• 発売日: 2008/10
• メディア: 単行本

実践コンピューター・フォレンジック―「守り」から「攻め」への完全セキュリティ・システム (コミュニティ・ブックス)

• 作者: 守本 正宏
• 出版社/メーカー: 日本地域社会研究所
• 発売日: 2008/04
• メディア: 単行本

インターネットフォレンジック―ネット犯罪を解決する電子証拠の収集と分析

• 作者: ロバート ジョーンズ
• 出版社/メーカー: オライリージャパン
• 発売日: 2006/07
• メディア: 単行本

コンピュータフォレンジックス入門―不正アクセス、情報漏洩に対する調査と分析 (トムソンセキュリティシリーズ)

• 作者: Bill Nelson
• 出版社/メーカー: ビー・エヌ・エヌ新社
• 発売日: 2005/12/08
• メディア: 単行本

タグ：セキュリティインシデント 個人情報漏洩 ログ活用 統合ログ管理