オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

結果には原因があるが、その中間に予兆があり実行があったことに注目

»

りそな銀行とアリコで情報流出がありました。因果関係よりも、そのプロセスに注目をする必要があります。単純に原因があるから結果があるのではなく、その中間と原因付近に予兆と実行があり、その結果がこれらになると考えています。

 りそな銀行では7月22日、伝票やATMの利用明細などに記載された氏名や住所、口座番号、取引種類、金額などに関する約33万件の資料が流出したことが判明した。

内部調査の結果、これらの資料は保管期間を経過した書類に混入するなどして、社内で誤って廃棄した可能性が高いという。不正な持ち出しなどの可能性は極めて低いとし、事件に関係するとみられる被害は確認されていない。

・・・

 アリコジャパンでは、14日以降にクレジットカード会社から顧客のクレジットカードの不正使用に関する照会が相次ぎ、社内調査の結果、23日に一部の顧客情報が流出した疑いがあると発表した。

 流出した可能性のある情報は、2002年7月~2008年5月までに同社へ直接申し込みをした顧客のうち、クレジットカードで同社への保険料を支払っている、証券番号の下1けたが「2」または「3」を含む契約の顧客に関連したもの。流出の原因や規模は調査中としているが、11万件以上に上る可能性があるという。

 りそなの場合、誤廃棄の可能性が高いようです。が、「誤廃棄をしてしまったかもしれない可能性」でしかありません。確実な誤廃棄をした(日本語おかしいです)のであれば、次に繋がる事件も問題も起きないでしょう。しかし、それは誤廃棄ではなく、廃棄と言うのでしょう。

不正な持ち出しの可能性は極めて低いなんて、何を根拠に言っているのでしょうか?

あったものが、なくなった。ことに変わりはありません。 誤廃棄だったことを願うばかりです。

管理体制に問題があったことは、言うまでもありませんが。。。

アリコの場合、原因は調査中のようですが、証券番号が特定された情報だけが漏れているのならば、内部からの持ち出しか、外部からの攻撃だったのでしょう。

これは、いずれにしても、内部からの持ち出しは大きな問題がありますし、外部からの攻撃だった場合でも重大な問題です。

現段階では、クレジットカード情報の悪用です。が、今回洩れた情報の範囲がわかりませんので、何ともですが、生保の契約情報だった場合、換金性の高いクレジットの悪用の次には、契約情報の中に含まれる勤務先や資産状況、病歴など・・・情報の活用において十分なものが含まれています。

先日あった、三菱UFJ証券の流出情報リサイクルと同じように見えてなりません。(三菱UFJ証券の情報漏洩防止策の7つの提言で気になった3つ

両社ともに、管理体制の問題はもちろんですが、

・原因となったもの

 (中間)

・結果に起きたこと

だけではなく、この中間と原因付近に予兆と実行があったのです。これらを称して管理体制と言うのかも知れませんが、今までの情報漏洩事件を見る限り、この中間や原因付近がうやむやになり、結果?結論?になり、今後の体制作りになっていく、何とも学習能力のないことが多いと感じております。

当事者は、「起きちゃったものはしょうがない」とは言えないでしょうが、起きちゃった中に今まで見えなかったものや、弱点、今後のヒントが多数あります。これらは当事者だけでなく、社会全体の重要な情報になると思っています。共有すべくものだと考えています。

Comment(2)