企業法務マンサバイバル:【本】顧客情報漏えいの予防プログラム―金融庁の行政処分に対して三菱UFJ証券がなすべき回答のヒントは、もしかするとスパイ映画に隠されているのかもしれない件 - livedoor Blog(ブログ)(情報元のブックマーク数)
ガイドラインを精神論で終わらせるな!ガイドラインをベースラインにする仕事がSEの仕事だ!
業種こそ違えども、大量の個人情報を預かる事業体としては身につまされる指導文書です。
元企業法務マンサバイバル : 【本】顧客情報漏えいの予防プログラム―金融庁の行政処分に対して三菱UFJ証券がなすべき回答のヒントは、もしかするとスパイ映画に隠されているのかもしれない件
が、具体的にとるべき防止策については何も触れられておらず、半分が倫理などの精神論に終始しているのがいかにもお役所っぽいですね。これでは企業側の回答も精神論で終わるであろうことは、容易に予想できます。
とはいえ、アクセス権者が故意に、不正の目的で個人情報を漏えい(持出し)することに対する防御策というのは、各社が一番後手にまわっているところであり、根本的な対策を取りようがないとあきらめられがちな点でもあると思います。
リアルタイムモニタリングがどれほど大変で人が必要かというのは別問題として、アクセス権限者の不正というのは、本当に難しい。時間軸で見たり、データサイズを合わせてみたり複数の視点で見る必要があったりするのか。やっぱり。
私はアクセスログよりも、いかにリアルタイムなモニタリングによって不正持出し行為を行う前・行っている最中に食い止めるかに注力すべきではないか、と思っています。
元企業法務マンサバイバル : 【本】顧客情報漏えいの予防プログラム―金融庁の行政処分に対して三菱UFJ証券がなすべき回答のヒントは、もしかするとスパイ映画に隠されているのかもしれない件
たとえば、権限者であろうが複数の個人データにアクセスした場合には、その他の権限者や経営者にその状況がリアルタイムで配信されるとか、サーバーへの物理アクセス(入退室管理)と論理アクセス(パスワード等によるサーバー内データへのアクセス)の権限者を、総務部と情報システム部で分けることで相互牽制するとか・・・。
体重センサーに赤外線センサー、ゲームや映画くらいしか知らないなぁ、、、まぁデータを論理的に多層しているのは聞いたことあるけど。物理はある程度って感じかな。
、007に代表されるスパイ映画で情報がサーバーから盗まれるシーンを思い返すと、パスワードなんかのサーバーへの論理アクセスは味方のハッカーがいとも簡単に破るのに対して、サーバールームにアクセスするのって、スパイが命の危険を冒しながら、警備員の目や赤外線センサーや体重センサーをかいくぐって、めちゃくちゃ苦労して辿りついたりしてますよね(で、最後はマヌケな警備員が居眠りしたり目を離した隙に入られるというお決まりの・・・笑)。
元企業法務マンサバイバル : 【本】顧客情報漏えいの予防プログラム―金融庁の行政処分に対して三菱UFJ証券がなすべき回答のヒントは、もしかするとスパイ映画に隠されているのかもしれない件
あんなふうに、プロが死を懸けるほどアクセスが難しい場所でサーバー管理している会社って、そうそうないですよね?
