自社が保有する機密情報の大量流出事件が起きた。その犯人は、不正アクセスや不審な操作を監視する立場であるシステム管理者だった。管理者自身の不正行為を防ぐために、企業が取るべき行動とは一体何だろうか?
2009年4月に公表された大手証券会社の顧客情報の流出事件は、いまだ記憶に新しいところだろう。同社システム部門の管理者が盗み出した顧客情報の数は約148万人分で、そのうちの約5万人分の情報が回収できずに流出したとされる。
また同社では、情報が流出した顧客への謝罪として1人当たり1万円分の商品券を送付すると報道された。この損害だけでも約5億円に上るが、信用失墜による顧客離れを勘案すると、直接的な損害金額は数千億円規模に達するという試算もある。
今回の事件では、個人情報の持ち出しを防げなかった要因として「システムの操作ログは取っていたが、定期的な監査が行われていなかった」ことが考えられるという。
一般的にログをチェックして不審な操作を監視する作業は、システム管理者が行っている。今回の事件によって、こうした人手に頼った監視には限界があることが分かったといえる。また、システム管理者自身が意図的に機密情報を持ち出そうとした場合、それを防ぐ体制をどれだけの企業が構築できているかという課題も浮き彫りになった。
こうした情報漏えいへの対応策として、クオリティではIT資産管理ソフトウェアをベースにしたセキュリティソリューションを提案している。同社のソリューションでは、まず「IT資産の現状を正確に把握する」ことを重要視している。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:クオリティ株式会社
アイティメディア営業企画/制作:TechTarget編集部