事業のIT化とセキュリティの課題 | 東京IT新聞

事業のIT化とセキュリティの課題

コンシューマー セキュリティ

病院やペットショップの問題を“見える化”---MOTEX


日本年金機構やベネッセコーポレーションなど、企業・団体が保有する個人情報の流出による事件・事故が後を絶たない。東京商工リサーチの「上場企業の個人情報漏えい・紛失事故」調査によると、2012年1月から2015年6月までに上場企業と主要子会社で個人情報の漏えい・紛失事故を公表した企業が179社、事故件数は288件あったという。

顧客情報を保持する企業や団体はいま、こうした頻発する事件・事故を未然に防ぐ対策や、意識・行動変革が求められている。

いま、情報漏洩被害を未然に防ぐために管理者が認識することは何か? いま世界中で起きているハッキング被害の実態は? ネットワークセキュリティ・IT資産管理ソフトウェアを企画・開発するエムオーテックス(MOTEX。大阪市淀川区)の執行役員・池田淳氏に、セキュリティ対策ツール導入事例(病院・ペット業界)とポイントを聞いた。

●IT化の先駆け…東京武蔵野病院

たとえば芸能人や政治家などの著名人などをはじめ、病院では「通っていること自体を知られたくない」という患者もいる。こうした顧客の情報を多く抱える東京武蔵野病院では、いち早くITを導入し、電子カルテに対する情報漏洩対策やPCの私物化防止に向けた取り組みを始めた。

同院は、医療系(電子カルテ300台)と情報系(院内OA200台)、人事系の3ネットワークで構成。500代のPCをスタッフ4人で管理している。医療系と人事系のネットワークは外部と切り離し、危険を回避したうえで、医療系と情報系の通信を暗号化。セキュリティ対策ツールで監視することにした。

また、業務に関係のないサイトのキーワードをアラームと禁止に設定し、職員が禁止行為を実行するとリアルタイムにポップアップ表示され、見られているという意識が植え付けられて、抑止効果につながったという。

同院にセキュリティツールが導入された直後は、1日1000件ちかい大量のアラームが発生したというが、いまではほぼゼロ。今後は人事系ネットワークをマイナンバー対策のために再構築も考えているという。

●日本年金機構の顛末から学ぶ

では、こうしたツールが各社からリリースされるなかで、日本年金機構やベネッセコーポレーションなどの漏洩事故はなぜ起きたか? 池田氏は、日本年金機構の「例外」というリスクという視点でこう説明した。

「同機構は当時、ネットワークを基幹系と情報系で分けていた。年金情報は基幹系でしか取り扱わないようにしていたけど、インターネットにつながっていないなど何かと不便なことから、情報系のネットワーク上に年金情報を持ってきて作業していた。インターネットにつながっている情報系にこのデータを置いたままにしていたことで、標的型サイバー攻撃の受け、情報が漏洩してしまった」

●ランサムウェアなどから自衛する一歩は

いま、こうしたネットワークセキュリティ・IT資産管理ソフトウェアは、官公庁、銀行・金融、証券・保険など、あらゆる業種から注目されているが、そのなかでも「マイナンバー管理などが始まる自治体や、病院からも多くの相談を受ける」という。

とくに病院・医療分野で世界中を震撼させた事件として、ことし2月に起きたアメリカのハッキング被害が記憶に新しい。ハッカーがロサンゼルス市内の病院のネットワークにハッキングを仕掛け、保有するデータを暗号化。コンピューターを動作不能に陥らせ、復旧に4億円近い身代金を病院側に要求したという「ランサム(身代金)ウェア」だ。

「いま、銀行強盗ってあまり聞かなくなったが、世界中の犯罪組織などは、こういうランサムウェアのようなサイバー攻撃で大金を奪い取ろうとしている。日本でもかなり被害は出ているはずだが、表面化されていないだけ。被害は確実に広がっている」(池田氏)

●携帯端末も一括管理…アニコム損害保険

情報漏洩防止策としてのセキュリティ対策ツール導入の例として東京武蔵野病院の実績を挙げた池田氏は、最後に「端末一括管理」へ向けたツール導入事例を挙げた。

ペット保険サービスなどを提供するアニコム損害保険は、ペットショップにiPadを業界に先駆けて導入。1000台にもおよぶ端末を一括で管理するのに役立てたのが、MOTEXのスマートフォン・タブレット管理ツール。契約手続きなどで集めた個人情報の漏洩を防ぐ対策の一手として導入した。

たとえば、iPadの紛失・盗難といったトラブルが発生した場合、その端末の位置情報やリモートロック・ワイプが把握・制御できる。また、日常的にアプリのインストールを禁止するポリシーやパスコードポリシーを一括で適用し、1000台のiPadをたった2人で管理できるようにした。

こうした危機管理に向けた“はじめの一歩”として、自分たちが抱えるPCやタブレットといった情報端末の正確な把握と管理だと池田氏は続ける。

「まずは現状を正しく見ましょう、と。どれだけ強力なアンチウイルスソフトが“ほぼほとんどのPC”にインストールされていたとしても、管理対象外のPCが1台でもあれば、そこがセキュリティホールとなって、狙われる」(池田氏)
《大野雅人》

編集部のおすすめ

特集

page top