オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです

»

結構な数の情報漏洩が起きましたね。三菱UFJ証券から148万6651人の顧客情報が持ち出され、4万9159人分は名簿業者に売っぱらってしまったようです。

漏えいした情報は、昨年10月3日から今年1月23日までに新規口座および投信ラップ口座を開設した顧客4万9159人分の氏名と住所、電話番号、性別、生年月日、職業、年収区分、役職、勤務先の詳細情報。同社システム部の元社員が148万6651人分の顧客情報を不正に自宅へ持ち帰り、4万9159人分の情報を名簿業者に販売した。

今回のような、特定の目的をもった顧客情報は、同業他社や金融派生商品などの企業にとっては、おいしい情報になります。単に名前や住所などの情報でないからです。よく、これらの名前や住所程度の情報が漏洩しただけで、大騒ぎしていますが、その程度の情報は、漏れなくても既にどこかにあるのです。自分で書いていたり、話したり。。。身近な場所から情報が転売されていたり・・・まぁそんなものです。

それよりも、例えばクレジットカードの情報などはどうでしょう?利用金額もそうですが、購買した情報が年単位で束になっていれば・・・もう、いろんな傾向が見えてきます。趣味や生活行動、ひみちゅなことまで、赤裸々に出てきます。レンタルビデオの履歴なども同じです。

今回の情報は、年収や勤務先等の詳細な情報も含まれていたようです。単純に証券会社に新規口座を開設したときに書いた情報すべてが含まれているのです。

調査の結果、元社員が3社の名簿業者に販売したことを確認。名簿業者が転売した先の企業を含めて、漏えいした情報の使用中止と破棄を依頼しており、順次合意を進めているという。4万9159人分以外の情報はすべて回収し、漏えいは無いとしている。

これは大変な作業とコストですね。それなりの情報漏洩対策もされていたと思われますが、どこまで効果的に機能していたのでしょう?100%のセキュリティ対策は無理ですが、効果的に機能させること、戦闘意識を無くさせることは、出来るのです。

今回の事件で、三菱UFJ証券は

1.莫大な手間と費用

2.顧客へのブランドイメージ

3.漏洩した顧客と、その情報

を、失いました。

そして、どのようなセキュリティ対策をしていたのか?その機能が働いていたか?と、なってしまうのです。たった1人の退職社員のために。。。

・・・防止をしようとしているのに、事件は起きています。そろそろ真面目にセキュリティ対策を考える時期と思います。答えは簡単に出ませんが、自分が持ち出す側ならば、どのように狙っていくか?のアプローチで考えれば、対策は難しくないはずです。守る側だけの視点だからダメなのです!

ちょっと気になるのは、1人あたりいくらで売れたのでしょうね?単価がわからないので、なんともですが、売れた金額と社会的制裁を考えれば、やらないと思うのですが。。。

参考:もしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしい

解雇されれば情報を持ち出す・・・現実味が増してきた世の中の変化

Comment(0)