こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
独立行政法人日本学生支援機構(JASSO)は10月20日、委託事業者での個人情報の不正取得について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】委託先から個人情報が不正に持ち出されてしまったとのことです。今回は、個人情報が不正に持ち出されてしまう理由や、その対策について説明します。
今回のインシデントは、コールセンターシステムの運用保守業務従事者が、同システム内の個人情報を不正に取得し持ち出したというものです。また、奈良県橿原市も、業務受託者における個人情報の不正流出の可能性について発表しています。
・インシデントの原因
奈良県橿原市のインシデントでは、運用保守業務従事者がシステム管理者アカウントを悪用し、サーバに不正アクセスして、橿原市を含む複数の顧客から預かった個人情報を持ち出したことが挙げられています。
・今後の対策
お問い合わせ窓口を委託業者において設置するとともに、橿原市からは、準備が整い次第、郵送によりお詫びと経緯についてお知らせするということです。
・再発防止策
委託事業における個人情報の適切な取り扱いを徹底するよう指導するということです。
不正なデータの持ち出しは、外部記憶媒体やネットワーク経由によって行われることが考えられます。
外部記憶媒体は、USBメモリや外付けハードディスクなどが該当します。過去のインシデントでは、スマートフォンが外部記憶媒体として利用された事例もありますが、これらをパソコンに接続してデータが持ち出されることが考えられます。
ネットワーク経由は、メールの添付ファイルやクラウドサービスなどが該当します。企業のアカウントに保存されているデータを個人のアカウントへ転送又はコピーすることにより、ネットワーク経由でデータが持ち出されることが考えられます。
情報の持ち出しを防ぐためには、最小権限の法則に基づき、ユーザに対して権限を割り当てることが必要です。
最小権限の法則とは、ユーザーには必要最小限の権限しか与えないという、セキュリティ対策の原則です。ユーザーが必要とする情報や機能にだけアクセスできるようにすることで、操作ミスや悪意ある不正アクセスを未然に防ぐことができます。
例えば、すべて従業員に会社で使っているシステムの全権限を与えてしまうと、すべての操作ができてしまいますので、誤って大切なデータを削除してしまう可能性がありますね。そのために、必要最小限の権限しか与えないことで、必要なアクセス権限のみを行使してもらい、セキュリティを高めることが期待できます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ