その1 関係者を招集する
あらかじめ定めた「緊急連絡網」に従って関係者を招集し、緊急会議を行います。この関係者には、実際の状況を最も詳しく知っている発見者、システム管理者、情報管理に関する責任者、社長が含まれます。
発生した事象を知る
会議では以下のような点を踏まえて、発生した事象をできる限り正確に知るようにします。
・どのような情報が流出したのか
・どのくらいの規模で流出したのか
・流出経路は何か
社内関係者だけでは詳しい事象がわからないケースもあるかと思います。その場合は社外の専門家の力を借りることになります(もちろん相応の費用はかかります)。
その2 対応策を検討する
会議では以下の事項も早急に検討します。この時、無駄な時間を使うことは会社にとって致命傷となります。即断即決で対応策を実行します。
1. 該当情報システムの停止、ネットワーク切断、アクセスログの保管など
2. 内部の犯行の場合は、担当者の権限の停止、または拘束
3. 委託先での発生の場合は、委託先への指示
4. 流出を抑えるための緊急の対策
5. 個人情報の漏洩の場合は、本人への連絡や謝罪など
6. 関係機関(監督官庁、業界団体、警察署など)への報告
7. 外部への公表(※)
8. 再発防止策の徹底
※ 7.の「外部への公表」は、二次被害の防止や類似事案の発生回避を目的としています。Winnyなどのファイル共有ソフトによる流出の場合は、公表することによって被害が拡大するおそれがありますので、拙速な公表は控えるべきです。
外部からの攻撃の場合
情報漏えいの原因がSQLインジェクションなど外部からの攻撃にある場合は、データベースに不正な操作が加えられていることになります。その場合はまず、データベースのログ解析を行います。
データベース中に、「すべてのレコードを回答せよ」といった命令文や、不自然なJavaScriptを書き込む命令文が含まれていた場合は、攻撃が実際に行われていたことがわかります。このような場合は、即刻以下のような対策を実施します。
1. サーバ類をネットワークから分離
2. サーバ類の入れ替えまたはクリーンインストールしたHDDへの交換
3. サーバ類のパスワード変更
4. ファイアウォールの設定変更
5. 侵入検知システム(IDS)の導入
##内部からの漏洩の場合
内部からの漏洩の場合は、業務で使用している情報が外部の第三者に知られているということが事実として認識された時点で、内部からの漏えいと考えざるを得ないということになります。それが、インターネット上で公開されている、とりわけWinnyなどのファイル共有ソフトのネットワークで流通していることが発覚した場合は対策が困難になります。
このような場合は、即座に以下のような対策を実施します。
1. 外部の第三者が持っている情報が本当に自社の情報であるかどうかを確認する
2. 誰から流出したのかを調査する
3. 流出元のPCをネットワークから分離
4. 流出元のPCを保管
5. (必要な場合は)別のPCを使わせるようにする
なお、1.における対策として、自社のパソコンにWinnyをインストールして該当するファイルを調査するということを行いがちなのですが、これは単にWinnyのネットワークを広げる行為であり、さらに被害を大きくする危険を伴います。この場合は、掲示板などの情報で事実を確認したり、そのファイルを持っていると言っている人と直接コンタクトを取ることを試みたりする方法で、二次的に確認することをお勧めします。
その3 被害者の救済と拡散防止
流出情報によって被害を受けた個人や組織に対し、事実を伝えて直接謝罪するとともに、二次被害を防ぐための対処方法や、想定されるリスクを伝えるといった適切な支援を行う必要があります。
過去の事例では、流出の事実を公表することを最優先に考えて行動しているケースも少なくないのですが、早期に公表することで被害を拡大させてしまう場合も多く、それがWinnyやShareといったファイル共有ソフトによる情報漏えいの最大の特徴であることを理解しておく必要があります。
この場合は、一旦流出した情報ができるだけ拡散しないように、ISPなどと相談して早急に手を打つ必要があります。
執筆者プロフィール
中康二(Koji Naka)
オプティマ・ソリューションズ株式会社 代表取締役
多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など
『出典:システム開発ジャーナル Vol.9(2009年3月発刊)』
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。