サイバー「護身術」を磨け、ヤフーID流出 リスク管理の要諦
ラック 専務理事 西本 逸郎

(4/4ページ)
2013/5/20 7:00
保存
共有
印刷
その他

今回のヤフーのケースでは、誰が利用者IDの管理責任者だったのだろう。情報システム部門ではないはずだ。そして、今回の不正アクセスで、2200万件のIDを抽出(つまりは閲覧)するという行為は、悪用されたアカウントでの役割に応じた権限であったのかどうかが問題である。

情報セキュリティーで考慮する「機密性」で重要なことは「閲覧」権限の管理である。「閲覧」と「書き込み」では、「書き込み」の方が大事で、より慎重な管理が必要と勘違いしている人が多い。業務目線とセキュリティー目線では優先度が変わるのが大原則で、「閲覧」権限にこそ気をつけなければいけない。

「大量閲覧」が可能なアカウントは特に厳重に記録を取り監視する。恐らくヤフーはそうした監視をしていたと推測する。職責分離の関係で、閲覧できる人とデータの持ち出しが可能な人を分離することも考慮していいだろう。具体的な方法は、企業ごとに業務のやり方や文化が異なるため、それぞれに合った適切なやり方を見つけていただきたい。

整理すると、大半の組織で考慮すべき点は以下のようになる。恐らくこれまでも取り組んでいるだろうが、この機会に再度確認したい。

●情報システムやデータへの特別な権限の行使状況は把握できるか。
●特別な権限行使状況から不審な行動を見つけることができるか。
●特別な権限を行使するにあたっての認可やアクセス制御は適切か。
●特別な権限の行使ルールは守れているか。また、そのルールは実態に合っているか。
●セキュリティー責任者は情報システム部門と兼務になっていないか。

今回の事件は、単なるIDという一般的に外部にも知られている情報の流出の可能性ということで大事に至ったわけではない。だが、ヤフーという日本を代表する情報技術を駆使している会社で短期間に再度発生してしまったことは大変残念である。他のサイトだけでなく、一般の企業も人ごととは思わずに、我が社は大丈夫かということを、事故前提の観点で見直したい。

西本 逸郎(にしもと・いつろう) ラック CTO 専務理事。北九州市出身。1986年ラック入社。2000年よりサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマートフォンセキュリティ協会 事務局長、セキュリティ・キャンプ実施協議会 事務局長などを兼務。著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)
  • 前へ
  • 1
  • 2
  • 3
  • 4
保存
共有
印刷
その他

電子版トップ



[PR]