米小売大手Targetが4000万件のカード情報流出

　2013年も終わり、振り返ってみるとさまざまな情報セキュリティに関わる事件・事故が報道されました。そんな中、年末に飛び込んできた大きなニュースのひとつが、米小売大手Target社が公表した4000万件にも及ぶ、顧客カード情報の流出事件です。Target社は、情報がどのように流出したかなどの詳細については調査中として明らかにはしていません（2013年12月末時点）。同社は「再発防止」に向け連邦当局や外部専門家と協力しているとのことで、今後、その詳細が明らかになっていくと思われます。

　セキュリティ専門組織のSANSは、米国の上院議員らがTarget社情報漏えい事件について、米連邦取引委員会（FTC）や米消費者金融保護局に対して原因究明調査を要請しはじめた点について、「これは大きな問題になってきた。Target社の無責任な対応にも責任がある。議会への証人喚問で、大きな問題が明らかになるだろう」と、本件の深刻さと、Target社の事件への対応の仕方についてコメントしています。

　また、「4,000万件の情報流出に伴うTarget社の直接被害額は約20億ドル、それに議会への証人喚問などの対応で多額の弁護士費用がかかる。だたし、証人喚問され“赤恥”をかけば、TargetのCEOも取締役たちもサイバーセキュリティへの優先度を上げるだろう」と、情報漏えい事件を起こしてしまったTarget社が支払う代償について予測しています。

　Target社は「再発防止」に向けた取り組みをするとしていますが、「再発防止」の前に、そもそも、なぜそのセキュリティインシデントが発生してしまったのでしょうか。企業にとって重要なセキュリティ対策は、起きてしまったセキュリティ事故を繰り返さないことはもちろんですが、「起こさない」ことがもっとも重要です。まずは、セキュリティインシデントの「再発防止」と「未然防止」の違いについて解説し、身近な事例を使いながら「未然防止」のための取り組みについてご紹介します。

「再発防止」と「未然防止」

　ITが業務に利用されはじめ、インターネットの普及が進んだ現在、毎日のように情報セキュリティインシデントが発生しています。メールの誤送信、ウイルス感染、不正アクセス、情報漏えいなど、深刻度のレベルにこそ差はありますが、さまざまなインシデントが日々、身近に起きている状況にあります。

　企業でこうしたセキュリティ事故が発生すると、同じ失敗を二度と繰り返さないために、起きた失敗の原因を考察し、その原因を取り除くことに注力した後、業務の見直しや改善を行います。これが「再発防止」の考え方で、これまで行われてきた企業のセキュリティ対策は「再発防止」策を中心としてきたのではないかと思います。

　しかし、「再発防止」のための方策をしっかりと立てていたとしても、違う要因が引き金となって、同じような失敗を招いてしまうこともあります。

　こうしたセキュリティ事故に対して、「未然防止」するという、違うアプローチでのセキュリティ対策があります。以前、本連載でも取り上げましたが、システム的セキュリティ対策を上流工程からしっかりと行い、それを運用・開発する担当者のセキュリティ意識を高めることが必要であるという点を、「未然防止」の費用対効果という観点においてご説明しました。

　しかし、企業を取り巻く情報セキュリティの脅威は、年々増加する一方であり、また、その脅威も高度化、巧妙化しています。企業は、システムへのサイバー攻撃だけではなく、特定の組織や人を狙って機密情報を詐取することを目的とした標的型メール攻撃や、ソーシャルエンジニアリングなどの脅威にさらされています。

　現代においては、すでにシステム的なセキュリティ対策だけでは十分とは言えない状況にあります。そこで、企業の重大な情報漏えい事故を「未然防止」するために必要な要素として、さらに重要度が増している、企業の従業員一人一人にセキュリティ文化を醸成していく必要があります。

　こうした「未然防止」の取り組み方について、事例を使ってご説明します。

【次ページ】医薬品A社の事例