NTT西日本の個人情報流出事件によって、セキュリティに関する不安を感じていませんか。企業や組織として個人情報の流出は、信頼を失うだけでなく、既存の顧客及び将来的な顧客を失い、利益や売り上げが減少する可能性が高くなるリスクがあります。
NTT西日本の個人情報流出事件からどんなことを学ぶべきなのか、どのような対策方法があるのか理解を深めて、セキュリティの強化をすることが大切です。
今回はNTT西日本の個人情報流出事件とは何か、NTT西日本の事件をEXOセキュリティで対策できる理由、EXOセキュリティのエンドポイントセキュリティについてお話しします。
はじめにNTT西日本の個人情報流出事件とは何か解説します。
NTT西日本の個人情報流出事件とは、NTT西日本の子会社の元派遣社員が、約10年間で約900万件の個人情報を流出および漏洩させていた事件です。顧客データをUSBメモリに保存して盗み出し、名簿業者に販売していたという悪質なセキュリティインシデントと言えます。
昨今では大手有名企業においてセキュリティ対策がなされているにもかかわらず、個人情報の流出や情報漏洩の事件が増えてきました。こうしたセキュリティインシデントは対岸の数ではなく、自分ごととして捉えてリスクの回避を行う必要があると再認識すべき事件と言えるでしょう。
参考:NTT西日本子会社元社員、個人情報900万件流出名簿業者にも-日本経済新聞
参考:【NTT西日本】お客さま情報の不正流出に関するお詫びとお知らせ|ニュースリリース-通信・ICTサービス・ソリューション
・USBメモリなど記録媒体の持ち込みの禁止ルールが守られなかった
・USBメモリなど記録媒体の持ち込みをチェックする体制がなかった
・ログに記録は残っていたものの、即時に振る舞い検知することができていなかった
・ログの定期的なチェックが十分になされていなかった
・サーバーに入るIDとパスワードが共有されていた
・内部不正に対する対策がなされていなかった
・内部不正自体を長年認識できていなかった
以上はNTT西日本の個人情報流出事件におけるセキュリティ上の問題の一例です。いずれもセキュリティ対策の基本とも言えるべきことばかりであり、システムの保守管理を請け負う業者として、ずさんすぎる状況と言えます。
なぜ、内部不正による情報漏洩が10年近く、900万件も放置されたのか、その理由はシステムの保守管理に関する技術者自身が内部不正を行ったことにあります。
技術的なセキュリティリスクを理解した上で内部不正が行われてしまい、セキュリティや技術に関して疎い他の管理者や同僚が発見できないという状況に陥ってしまったと言えるでしょう。
同時に個人情報が漏洩したとしても、漏洩した個人本人がどこから情報が漏洩したのか認識できないのも大きな理由です。個人自身が様々なオンラインサービスなどに登録していれば、悪質な勧誘や迷惑メールが増えた程度では、どこから情報が漏洩したのかわからず、注意喚起を促すといったようなことも難しいため、結果として発見が遅れてしまい、長年の間放置されてしまったケースと言えます。
次にNTT西日本の事件をEXOセキュリティで対策できる理由について解説します。
EXOセキュリティにはデバイス制御機能があり、USBによるデータの持ち出しを防止することができます。
今回のNTT西日本の事件のケースでは、USBメモリで物理的にデータの持ち出しが行われたため、この機能を使うことで出たの持ち出しが防げたのは間違いありません。
EXOセキュリティはUSBなどのデバイス使用を管理者や上長の承認制にできる機能も備えています。
ネットワークから遮断されているようなセキュリティの高い保守環境においても、必要に応じてデータの入出力ができること、どのデバイスで誰がデータの入出力を行っているのか完全に管理できるようになるため、今回のNTT西日本のような個人情報漏洩であれば早期に発見できたと言えるでしょう。
EXOセキュリティはアプリケーションごとに制御ポリシーを設定することができるため、不必要なアプリケーションにおいてデータの持ち出し、ファイル添付ができないようになっています。
クラウドストレージやチャットツールなどに個人情報や機密情報が入っているファイルのアップロードを遮断することも可能であり、外部へのデータ持ち出しができないよう複数のセキュリティ対策が備わっています。NTT西日本の事件においては、担当者が任意にデータを持ち出しできる状況にあったため、アプリケーション遮断よる機能があれば防げた可能性は高いです。
今回のNTT西日本の事件においてはUSBメモリでしたが、画面キャプチャーを用いて画像でデータを持ち出すケースもあります。
EXOセキュリティは画面キャプチャ機能付きのプログラムを制限する機能を備えているため画像で個人情報を盗み出すといったようなことも防ぐことが可能です。
同じく今回のNTT西日本の事件においてはUSBメモリでしたが、プリンターで個人情報を印刷して持ち出すケースもあります。
EXOセキュリティはプリンターの制御で文書印刷を制限する機能があるため、USBメモリ以外のデータの流出を防げる可能性が非常に高いです。
今回のNTT西日本のケースでは、持ち出した情報が暗号化されておらず、そのまま利用できる状況によった可能性が高いです。EXOセキュリティはマイナンバーなどの個人情報や社内の機密情報が入っているファイルを自動で検出できる技術を保有しており、管理者が設定したポリシーの該当するデータを自動的に暗号化して保護します。
またPC内の保有量を調査することも可能です。自動的に個人情報や機密情報を検出し、かつ自動的、個人情報や機密データを暗号化して保護する機能があるため、もし適用されていれば流出したとしても名簿業者に売れなかったり、悪用できなかったりした可能性は高いと言えます。
EXOセキュリティはWEBベースの管理者機能があるため、別の場所からも保守管理の状況を監視することができます。
リアルタイムの検知機能や各種ログを監視する機能もあるため、技術力のある人のみに属人化させず、セキュリティインシデントやセキュリティリスクの検知を即時に把握することが可能です。
次にEXOセキュリティのエンドポイントセキュリティのその他の機能について解説します。
以上はEXOセキュリティのエンドポイントセキュリティのその他の機能の一例です。前述した様々な機能と組み合わせて利用することで、さらにセキュリティを強化することができます。NTT西日本の個人情報流出事件において必要だった機能や性能でもあり、個人情報や機密データを取り扱う企業や組織であれば、最低限備えておくべきセキュリティ対策と言えるでしょう。
今回はNTT西日本の個人情報流出事件とは何か、NTT西日本の事件をEXOセキュリティで対策できる理由、EXOセキュリティのエンドポイントセキュリティについてお話ししました。
個人情報保護法により、一度個人情報が流出してしまうと厳しい罰則が課されることもあり、企業にとっては莫大な損失になってしまうことも忘れてはなりません。
また重要なデータを流出することにより、取引先の信用度を失ってしまうというリスクもあります。たった一度の個人情報の流出によって、既存の顧客や将来的な顧客、利益や売り上げをを失うことになってしまうのです。
結局のところ、セキュリティについて真剣に取り組んでいたかどうか、技術的に対応していたかどうかがセキュリティインシデントを防ぐためには必須ということです。
当社の提供する「法人向けエンドポイントセキュリティ」を導入することで、事業活動で生じる様々なデータを内部不正や情報漏洩から守ることができます。「セキュリティを強化したい」「セキュリティに不安がある」とお悩みであれば、是非ともこの機会にお問い合わせ、ご相談ください。
最後までお読みいただきありがとうございました。
