情報漏洩は防げるか

★★　情報漏洩は防げるか　★★　2005年08月07日

　アメリカで重大な情報漏えい事件が発覚した。クレジットカード情報が番号・有効期限・氏名のセットで不法に２０万件あまり盗まれたとのことである。この情報セットがあれば、カードの偽造もできれば、なりすましネットショッピングも可能である。実際に漏洩したのは昨年であり、既にかなりの被害も出ているようである。今回はカード情報処理会社での情報漏えいのため、利用者の損害は全額補償されるらしいが、よくチェックしておかないと支払わされてしまうかも知れないのである。

　問題を起こしたカード情報処理会社は２０００万件ものカード情報を所持していたとのことであるが、カード情報という標的になり易い情報を扱っているのだから、当然それなりのセキュリティ管理はしていたと思われるのである。それなのになぜ破られたのであろうか。

　報道によれば、何等かの情報持ち出し用のツールプログラム（スパイウエアのようなもの）が組み込まれていたらしい。そのようなプログラムを組み込めるのはシステム保守関係者以外は無理のはずである。結局関係者による内部犯行か、関係者が騙されて（「情報漏えい防止ソフトだからインストールして下さい。」とか何とか言われて）組み込みを行ってしまったのではないかということである。

　最近は情報漏えい事件が後を絶たない。対策として色んな手が打たれているが、情報処理は必ずシステムを作る人や情報を使う人が必要である。それを扱う内部の人間や、システム作成や保守の関係者が悪の側にひるがえった場合には、いかに堅固なプロテクトシステムを採用していても防ぎようがないものである。特にシステム関係者となれば、ログ（いつ誰がどのファイルをコピーしたかなどの記録）を消すことも不可能ではないので、証拠を残すことなく情報漏えいすることもできるのである。結局、このような情報処理会社としては、関係者すべてを信頼できる社員で固め、不平不満が出ない運営をするというのが、最も重要なセキュリティ管理となるのであろう。

BACK