シマンテックが開催するカンファレンス「Symantec SecureXchange 2004」の2日目となる11月5日、ソフトバンクBBの常務取締役兼CISOである阿多親市氏が「ソフトバンクBBの情報セキュリティへの取り組み」と題した講演を行なった。
● 阿多氏が一連の顧客情報漏洩事件の経緯を説明
|
ソフトバンクBBの阿多親市常務取締役兼CISO
|
阿多氏は講演の冒頭、「ご心配をお掛けしている事件のその後」と前置いた上で、2004年2月に報道されたソフトバンクBBの顧客情報流出事件について言及。顧客情報流出事件の概要と、その後のソフトバンクBBの取り組みについて説明した。
阿多氏によれば、ソフトバンクBBの情報保護に関する取り組みは、顧客情報流出事件よりも前に始まっていたのだという。阿多氏は「2003年9月に個人情報保護管理委員会を発足、10月には情報資産の洗い出し活動を展開しており、2004年1月にはISMS認証基準に基づいたリスクアクセスメントを実施していた」とコメント。「こういった活動を行なっている矢先に個人情報漏洩の報道が行なわれた」との経緯を語った。
漏洩事件は当初のうち1つの事件と考えられていたが、実際は別々の人物による恐喝が2件同時に発生していた。阿多氏は2つの事件を、恐喝に関わっていた人物のイニシャルから「K事件」「Y事件」として説明した。
K事件では、2003年2月末まで同社のメールサポートセンターに勤務していた人物が、USBメモリを利用して業務端末からデータを少しずつ抜き出し、顧客情報を家のPCに保管していたという。阿多氏は「恐喝の連絡を受けたのは2004年1月で、ニュースなどで“顧客情報が金になる”と思ったのではないか」とコメント、この人物については単独犯ということもあり、執行猶予判決が下されていると付け加えた。
一方のY事件は、「恐喝してきた本人はコンピュータの知識がなく、首謀者の指示でコンタクトしてきた」という。阿多氏はYから「ソフトバンクBBの顧客情報を保持している。ついては知り合いのセキュリティ会社と契約を結ぶように」との恐喝を受けたと説明。実際の顧客情報流出については「同社のシステム保守チームの業務委託を担当し、2003年6月に退職した人物が、外部から顧客データベースへのリモートアクセスのやり方を知人Tの前で見せ、その知人Tがパスワードを覚えて単独でデータを抜き出した」との経緯を説明した。
|
|
K事件の概要
|
Y事件の概要
|
● 事件以降は情報セキュリティを徹底
|
ソフトバンクBBが考える情報セキュリティ対策の基本方針
|
一連の顧客情報流出を受け、ソフトバンクBBでは緊急対策として流出事件専用の窓口を用意し、400人の人員を設置した。阿多氏は「400万人以上の顧客情報流出に対して400人が妥当かはわからないが、サポートセンターとして400人は相当の規模」と説明、「いわゆる“オレオレ詐欺”のような詐欺情報などに、消費者センターのような形で1件1件お答えしていった」とした。
専用窓口の開設に合わせて、ソフトバンクBBでは流出経路と考えられるすべての経路についてセキュリティのレベルを引き上げた。また、顧客DBアクセスの常時アカウントは、阿多氏を含み3名に集約したという。阿多氏は「顧客情報DBへのアクセス権は有効期限があり、期限以降は毎回IDを申請ベースで変更する必要がある」と補足、事件以降のソフトバンクBBのセキュリティ体制について話を進めた。
阿多氏は情報セキュリティ対策の基本方針として「物理的対策」「組織的対策」「人的対策」技術的対策」の4点が重要だと指摘。物理面では入退室管理や私物持ち込みの禁止といった対策を行なっているほか、指紋認証システムもまもなく全社レベルの導入が完了するとした。
組織的対策について阿多氏は「責任者を必ず立てるべき」と指摘。「問題が発生した際に、ビジネスと並行しながら対策を進めることは難しく、ソフトバンクBBでは有事の際の責任者という意味でCISOという役職を置いている」とした上で、「その下に全社組織の委員会や抜き打ち用の監査役などを設置している」と説明した。
人的対策としてはアルバイトを含む全社員の研修やeラーニングを実施するほか、業務委託についても個人と誓約書を結んでいるという。阿多氏は「業務委託を個人と契約するのは派遣法違反ではないかという話もあったが、セキュリティに対する考え方に納得いただいた企業とのみ業務委託を行なっている」との取り組みを語った。
技術面ではネットワーク内すべてのアクセスログを監視しており、ファイル共有ソフトやUSB端子は利用した時点でアラートが発生するという。阿多氏は「社員が使っているPCはすべて会社の資産であり、それ以外のことは自宅のPCで、というのが基本方針」と説明。メールやインターネット履歴などもすべてログを保持しているが、「基本的にはロボットによるフィルタリングで、本当に不審な場合のみ人間の手が介する」と補足した。
|
|
物理・安全対策の概要。スタッフは全員ポケットのない制服を着用し、持ち物は透明の袋を利用する
|
指紋認証もまもなく全社導入が完了
|
● 履歴書などの採用情報も個人情報保護の重要な課題
|
履歴書などの人事・採用情報は「セキュリティの落とし穴」だという
|
こういったセキュリティ対策を実施していく中で、阿多氏は「あまり世間では気づかれていない重大なセキュリティホールが存在するのではないか」との考えに至ったという。阿多氏はその一例として人事・採用業務を挙げ、「履歴書は住所氏名だけでなく、趣味や個人情報も含んだ大変な個人情報」と指摘。「採用されれば社員の履歴書としてそのまま保管されるだろうが、不採用の場合は廃棄するか自社で保管するか、そもそも保管してよい情報なのかという問題がある。今まで報道されなかった面だが、個人情報保護に対する企業の取り組みとしては非常に重要な課題」と語った。
阿多氏はこの問題に対する取り組みの一環として、新しく導入した採用業務ワークフローの事例を紹介。「このシステムが完全に動いている訳ではないが」とした上で、暗号化された履歴書を検索して、電子的にのみ内容を閲覧できるシステム「セキュア・レジュメ・システム(SRS)の概要が語られた。
阿多氏は「今後は企業の採用論理が大きく変化するのではないか」と指摘。「現在は採用企業の論理が強く、履歴書の利用期間や破棄・返却についても明示されないが、これは応募者自身がコントロールすべき。4月の個人情報保護法以降はそれだけの権利を個人が有するのではないか」との見解を示した。
|
|
ソフトバンクBBの新しい採用業務ワークフロー
|
今後の採用は企業の論理から個人の論理へ
|
関連情報
■URL
Symantec SecureXchange 2004
http://securexchange.jp/
■関連記事
・ ソフトバンクBB、恐喝未遂事件容疑者逮捕を受け発表会開催(2004/05/31)
( 甲斐祐樹 )
2004/11/05 16:34
- ページの先頭へ-
|