頭隠して尻隠さず状態のセキュリティ
昨年暮れに、日産自動車から「重要なお知らせ」と書かれたレターが我が家に届きました。
なんだろうと開けてみると、個人情報流失可能性のお詫びと注意の喚起でした。
同社によると、2003年に導入した「旧お客さまデータベース」システムのデータが、
2003年5月から2004年2月の間に流出した可能性が高いそうで、旧データベースに登録
されていた可能性のある顧客537万9,909名全員に、調査結果の報告とデータ悪用への
注意喚起を図るダイレクトメールを郵送したそうです。事後対策費用は、郵送コストだけでも5億円を越えていますね。
各企業のリモートアクセス時のセキュリティ対策の現状を調査するために、各VPNベンダーやその販売代理店の20社位にインタビューを行いました。
さすがにインターネットは危ないという認識は高く、インターネットを経由したリモートアクセスのセキュリティ対策としてVPNの導入は盛んです。従来のIPsec-VPNでは、クライアント
ソフトのインストールが必要で、その管理も大変でしたが、3年位前からSSL-VPNが普及し始めています。クライアントにはWebブラウザさえあれば良く、ケータイにも対応しています。
VPNを導入した企業におけるワンタイムパスワードの普及率をヒヤリングしたところ、正確な統計ではありませんが、20%~30%位といったところでしょうか?
せっかくVPNを導入してネット上の暗号化やトンネル化を実施して不正な盗聴を防止しているにも拘らず、VPN導入企業の70%~80%は、なりすまし対策を実施していません。
ID・パスワードを盗まれて、正規ユーザになりすまされてはVPNは何の役にも立ちません。
これじゃ、頭隠して尻隠さずですよね。