注意が必要な顧客側でのセキュリティ体制(2)早急な対処で事件の再発を防止

●政府関係機関はセキュリティが弱い？

7月、会計検査院が連邦政府の情報セキュリティ状況について、監査結果を発表した。その中で主要な機関、24件で脆弱性が見られ、連邦の情報と情報システムの両方を脅威にさらしていると警告している。キーロガーがしかけられたメールを開いてしまった今回のケースは良い例だろう。漏洩の原因となったと考えられているテキサス州デントン郡で情報セキュリティを担当するケビン・カーも「スタッフの教育に努めている」と語ってはいるが、まだまだ不完全だ。特に添付はポルノ写真だったということで警察側も面目をつぶした。

皮肉なことに検察局はテキサス州デントン郡のセキュリティを高く評価していて、捜査員が訪れた際にもカーに聞き取りさえしなかったほどだという。一方、国際警察所長協会(International Association of Chiefs of Police)は「私たちにできることは限られている」とコメント。実際は、苦しい立場にあることを明らかにしている。「スタッフを全て、トレーニングに参加させるぐらいしかできない」と、同協会のテクノロジーセンター事務局のマット・シンダーは事件後、語っている。不用意に知らない人からのメールを開いたりしてトロイの木馬を仕掛けられると、システム全体に問題が起きてしまう等、トレーニングによりスタッフの啓蒙に努めるが、実際に注意事項が守られているかまではプライバシーの問題もあるし、管理しきれない。

通常の情報漏洩事件の場合、顧客の情報が危険にさらされる。しかし、データ会社の場合の顧客と、漏洩により被害を受ける市民は同一ではない。自分たちに直接の問題はないのだから、わざわざ苦労してセキュリティホールを何とかしようという努力が足りないのかもしれない。事件でもレクシス・ネクシスの管理体制について問われたが、警察が顧客で、そのアクセス情報が漏れたということについては大きくは報道されていない。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html