データベースの暗号化ソリューションを扱うペンタセキュリティシステムズ(ペンタセキュリティ)は6月24日、JTBの子会社への不正アクセスについて、同社のセキュリティコラムで解説した。
同コラムによると、不正アクセスは3月15日にJTBの子会社であり旅行商品のインターネット販売を行うi.JTBに、既存の取引先名での問い合わせメールが届いたことに端を発し、担当者がメールに添付されていた圧縮ファイルを開いたところ、3月19日に社内Webサーバから外部への異常な通信が発覚したという。4月1日には個人情報データを保存する「実績データベース」への外部からの侵入、および同データベースへのCSVファイルの生成と削除の痕跡が確認され、6月14日にJTBより公表されたとしている。ペンタセキュリティは状況分析にかかった時間の長さを指摘しつつも、隠ぺいせずに公表を行ったJTBの姿勢を評価している。
コラムでは、今回のような大規模のインシデントが発生すると、「勤務者のセキュリティ意識が希薄なこと」「情報セキュリティの責任者がおらず、セキュリティポリシーが甘いこと」「データベースに対するセキュリティ対策が不十分な点」「データ暗号化を行っていないこと」を議題とした論争がなされると述べている。これに対しペンタセキュリティは、議論を行うだけでなく、そこから実質的な対策を見出していくことが重要だと指摘している。
また同社の見解によると、内部ネットワークへの侵入に対するセキュリティは、あくまで事故発生の確率を減らすためのものであり、侵入は必ず起こってしまうものだという。そのため今回のインシデントの問題点は、データを暗号化していなかったことに尽きる、としている。合わせて、DataBase Administrator (DBA) とセキュリティ管理者の権限を分離し、適切な鍵管理が行われていたかどうかも極めて重要だという。
今年よりマイナンバー制度の運用が始まり、個人情報の漏えいについて懸念されていた中で発生した今回のインシデント。同コラムでは、本事案を”予防接種”に例え、これからの情報セキュリティについて、社会全体で真剣に考える良いチャンスである、と結んでいる。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供: