2月に451万人の個人情報流出事件を起こしたYahoo!BB(会社名はソフトバンクBB)が、事件の原因を含む詳細と、自社の情報セキュリティへの取り組みを公表しました。

これは、常務取締役の阿多氏(元マイクロソフト株式会社社長)が、11月5日に「Symantec SecureXchange 2004」の講演の中で明らかにしたもの。中でも、これまで語られてなかった2つ目の流出経路について、具体的に説明したことが注目されます。

同社の個人流出事件は、2つに分かれており、それぞれの流出経路は下記とのこと。このうちUSBメモリを使用したK事件は詳細が明らかになったのは初めてと思われます。

K事件)犯人は、2003年2月まで同社のメールサポートセンターで勤務しており、USBメモリを利用して業務端末から顧客情報を少しずつ抜き出して持ち帰り、自宅のPCで保管。2004年1月に恐喝の連絡をしてきたとのこと。犯人には執行猶予付きの判決がすでに出ているとのこと。

Y事件)同社のシステム保守チームの業務委託を担当し、2003年6月に退職していた人物が、インターネットから顧客データベースへのアクセス方法を犯人グループの一人に教えて流出が発生。犯人グループの別の人物が恐喝してきたとのこと。

また、同社の情報セキュリティへの取り組みは下記の通りとのことだ。

・緊急対策として専用窓口を開設(400人規模)
・データの流れる経路でセキュリティレベルを引き上げ。
・顧客DBへアクセスできるアカウントを集約。
・顧客DBへアクセスできるアカウントを有効期限付きに。

・「物理的対策」
 ・入退室管理
 ・私物持ち込みの禁止
 ・指紋認証システム(導入中)

・「組織的対策」
 ・有事の際の責任者としてCISOを設置
 ・CISOの下に委員会や監査役を設置。

・「人的対策」
 ・アルバイトを含む全社員の研修/eラーニング
 ・業務委託について個人と誓約書を結ぶようにした

・「技術的対策」
 ・ネットワーク内すべてのアクセスログを監視
 ・ファイル共有ソフトやUSB端子の利用を監視
 ・メールやインターネット履歴などもログを保持

関連URL:
http://bb.watch.impress.co.jp/cda/news/7349.html




●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)