ID・パスワード漏えいが発生!対策・再発防止の手順
どれだけ注意を行ったり、システム的にセキュリティ強化を行ったとしても、何らかの原因でID・パスワードの漏洩は発生する場合があります。大切なのは、その後の対応です。「漏えいさせてしまった」というだけで信用が下がっているので、適切に対応し問題を早く収束させ、そして再発を防止することが大切になります。
[対策ステップ1] 速やかに発表し利用制限を行う
何らかの形でお客様のID・パスワードといった情報の漏えいが確認された場合、速やかに事実を公表すること、そして流出が特定されたID・パスワードの利用を停止するなどの利用制限が必要となります。
情報漏えいが発生した場合、企業によっては「問題の原因を究明してから発表を行おうとする企業」がありますが、こうした対応は後に批判されることになります。情報漏えいの事態を分かっていながら、お客様への通知を怠り、お客様情報を危険にさらすためです。
また、流出が特定されたID・パスワードの利用停止についても同様です。会社の基幹サービス、またユーザー数が多いサービス、公共・インフラサービスなどであれば、サービス全体を停止することは難しい、また適切でない場合があります。こうした場合は、影響範囲が確認された順に、ID・パスワードを停止し、ID・パスワードの再発行を促すなど段階的な対応を行うべきです。また、個人情報保護法に基づき、警察や経済産業省への報告も必要となります。
こうした点を怠った結果、批判を招いたのが2015年のJTBの情報漏えい事件です。事件の発覚から発表まで1カ月以上の時間がかかったこと、その間ユーザーへの告知を行わずID・パスワードの利用制限を行わなかったことが原因です。
[対策ステップ2] 原因究明・影響範囲を特定する
情報漏えいID・パスワードがある時点で1度に全部持ち去られた、その手法も影響範囲も一発で特定できる、というケースもあれば、複数回にわたって持ち去られ影響範囲の特定も難しい場合もあります。例えば、2014年に3504万件の個人情報漏えいが起こったベネッセコーポレーションでは、犯人はUSBメモリを利用して複数回にわたり情報を持ち去っています。
原因究明ならび影響範囲の特定には、デバイスやデータベースへのアクセス履歴を確認し、都度確認を行うという膨大な作業が必要となり、当然時間もかかります。経営陣は「早急に情報漏えい問題を解決したい」という強いプレッシャーにさらされ、現場を急がせがちですが、これは絶対にやってはいけない方法です。
中途半端な原因究明は不完全な対策につながります。また、中途半端な影響範囲の特定は、繰り返しの「影響範囲の訂正発表」につながり、結果信頼を失います。
[対策ステップ3] セキュリティ強化を行う
次に具体的な対策が必要となります。システム面のセキュリティと、システム面以外セキュリティ強化の両面での対策を行う必要があります。
ここで注意したいのは、「セキュリティ対策を完璧に徹底しようとすると、際限なくお金がかかる」、そして「徹底しようとすればするほど、従業員の利便性が下がる場合が多い」という2点です。
情報漏えい事故の後、情報漏えいの再発防止のため、外部のセキュリティコンサルタントを入れる企業が大多数です。しかし、セキュリティコンサルタントのいう対応策を全て行うと、確かにセキュリティは堅牢になりますが、場合によっては1年分の営業利益以上の費用がかかる場合すらあります。
次に、利便性についての例です。国内のとある金融機関では、情報漏えいからのセキュリティ強化対策として、ごく一部の社員を除き、社外からのメールの閲覧を一切認めていません。セキュリティ対策を徹底させることは重要ですが、これにより社員の生産性を著しく下げてしまうのでは本末転倒となります。
よって、セキュリティ強化が必要な場面であっても、セキュリティ強化を絶対視するのではなく、常に「費用」ならび「生産性vs.利便性」という観点を持ち続けることが必要です。
例えば、システム面でのセキュリティ強化には多くの方法がありますが、ID・パスワードを集中管理し、個人に管理させないという「IDaaS」(Identity as a Services: クラウドによるIDアクセス管理サービス)もその一つです。様々なシステムやアプリへのID・パスワード管理を従業員に任せるのではなく、情報システム部門で一元管理する。従業員には非常に強固なパスワードを1つだけ渡すという方法です。有料のサービスが多数ある中、「トラスト・ログイン」であれば無料で導入を行うことができます。
[対策ステップ4] 継続的に情報発信を行う
情報漏えい発生後の対策は、お金を払えば一瞬で完了するものではありません。現在の作業の見直し、新しい物理セキュリティの導入、システムの改変、アクセス権管理の厳格化など多岐に渡ります。「情報漏えいを起こして、対策を発表したのでこれで終わり」とするのではなく、「今後情報漏えいを起こさないために、継続的に何をやっていくか。どのようにやっていくか。どこまで進捗したか」を継続的に情報発信することが重要です。
情報漏えいが発生したからといって、これまでの顧客が全ていなくなって、新しい顧客に入れ替わるわけではありません。情報漏えい発生前から付き合いのあるお客様に、今後も継続してお付き合いいただくためには「情報漏えいのような不都合な事件を起こしたことを忘れてしまう」という態度ではなく、「私たちは継続して対策を取っています。事件を忘れてなんかいません」という態度のほうがお客様からの信頼を得られます。この対策を極めて高いレベルで行っているのがベネッセコーポレーションです。
費用ゼロで利便性を守るトラスト・ログイン
ID・パスワードの漏えいから企業を守るのが「IDaaS」ですが、無料で導入するという選択肢があります。SSL・電子証明書の発行で国内最大手のセキュリティ企業、GMOグローバルサインが提供する「トラスト・ログイン」です。
トラスト・ログインは、アカウント数やアプリケーション登録数の制限なく導入できるため、最初は情報システム部門で導入した後、徐々に対象部門を拡大していき、最終的に全社導入するといった展開方法も可能です。情報漏えい事故発生後、セキュリティ対策が急務だが、全てをやろうとすると費用がかかりすぎて無理、という企業には特に推奨できるソリューションとなります。
まずは情報システム部でのテスト利用から、お試しください。