前号: No 211 / 次号: No 213 / 一覧に戻る
少し前になりますが、5/24にomiaiというマッチングアプリの運営 元で大規模な情報漏洩がありました。 今回は、この事故を通して取り扱いの難しいデータの保管方法に ついて解説をします。1. 年齢確認書類が漏洩した
この事故では、171万人の会員情報が漏洩したようです。 facebookの全世界で2億件といった情報漏洩に較べればかわいい ものですが、日本国内にほぼ限定されたサービスとしては十分に 大規模です。 また件数以上に問題となったのは、年齢確認書類として提出された 運転免許証などのイメージデータ(以下、年齢確認書類と略します) が漏洩された点にありました。2. どのようにデータは盗まれたのか?
上記の会員情報を格納したデータベースサーバへの不正アクセスを 許してしまったようです。 その結果、サーバ上にあったデータが持ち出されました。その中 には退会済の会員データも含まれていました。 データは暗号化されておらず、アクセス権限の制限もそれほど厳し くはなっていなかったようです。 データの盗難は2021年4月に数度に分けて行われました。その被害を サービス運営側が把握したのは4月の末でした。3. なぜ年齢確認書類を保存していたのか?
今回の事故で多くの人が指摘していますが、なぜ年齢確認書類と いう取り扱いのやっかいなデータを保持し続けていたのでしょう? 運営会社の利用規約では退会後も含めて10年間は情報を保持する と明記されています。利用規約は利用者の了承も得ているものです から、保管すること自体に問題はありません。 運営会社は訴訟リスクに備えて画像を保管していたそうです。 これはビジネス上の判断ですから、外部がどうこういう筋合のもの ではありません。 ですが、その情報が漏洩したとなると話は違ってきます。 利用者が認めているのは運営元が10年間保持することであり、漏洩 することなど認めるはずがありません。 運営元はこういった難しい情報の資産を事故を起こさずに保管する 対策を取る必要があったわけです。 つまり、情報資産のリスク対策が求められるわけです。 余談ですが、リスクというのは未だ表面化していない問題のこと です。その問題が表面化すると、それはもはやリスクではなく、 「課題」と呼びます。4. 情報資産のリスク対策
情報の対策というと、技術的な対策をイメージしがちですが、それ だけには限りません。 極端な話、情報を紙だけで保有すると決めれば、パソコンやサーバ のセキュリティ対策は不要になります。そこまで極端なことを言わ ずとも、情報の利用シーンをよく考えて、保管するデータを減らす ことも大切なリスク対策です。 情報資産に対する最強のリスク対策は「持たないこと」です。 存在しないものは絶対に盗まれませんものね。 削除できないとしても、インターネットからアクセスできない サーバ上での保管、クラウドストレージなどのデータ預りサービス の利用、CD-Rのようなメディアでの保管など、データの持ち方は さまざまです。5. 「持たない」という選択
上述した通り、不要な情報資産は「持たない」のが一番です。 特に、今回の年齢確認書類のように漏洩時に大問題になりそうな データであればなおさらです。 omiaiの業務内容を知りませんので想像ですが、年齢確認書類が 必要となるのは入会時の身元確認が中心でしょう。 入会後はほぼ参照する必要のないデータと思えます。 もしそうであれば、年齢確認書類をインターネット上からアクセス できるサーバ上に置いておく必要性などありません。 単純にシステムデータとして考えれば、わざわざ会員からの提出 データはサーバに置きっぱなしが普通でしょう。 ですが、情報資産のリスク対策としては、使わない情報は削除し、 使う情報は情報の機密レベルに応じて、適切な場所に移動させる のが正しいのです。 では、今回のような年齢確認書類の場合は、どうすればよかった のでしょうか?6. 情報利用頻度によって保存方法を変える
利用頻度が十分に低い(例えば一ヶ月に数度程度)情報であれば、 ネットワーク接続させない専用パソコンに保管しておく方法が あります。 各担当者は、年齢確認書類を参照する必要がある場合に限り、自席 から移動して、その専用パソコンを使うわけです。 もっと頻度が低いのであれば(例えば年に一回程度)、写真データ はCD-RやDVD-Rに書き込み、必要に応じてそれを参照するといった 運用でも問題ないでしょう。 こういった方法であれば、いくらスゴ腕の犯罪者でも、事務所に 侵入しない限り写真情報にアクセスできません。 情報資産の盗難リスクは格段に低くなります。 ですが、この方法はこの方法で問題があります。 利用頻度が、数日に一度程度まで上がったとしましょう。 すると、専用パソコンの前まで毎回移動して調べたり、CD-Rを探し て、装着することが面倒になります。また、他のメンバが調べている 時にはパソコンやCD-Rが使えないなど、作業効率も悪くなります。 また、昨今のテレワークのような働き方だと事実上使えません。 こういった場合は、クラウドストレージといった外部のサービスを 利用すれば良いでしょう。 クラウドストレージというのは、文字通りクラウド上に設置された データ保管サービスで、個人でも写真など保管用に利用されている 方もたくさんおられます。 こういったサービス用のサーバの運営元は不正アクセス対策も万全 ですし、日常的に専任者が不正アクセスに目を光らせていますから、 そう簡単に情報漏洩など発生しません。(発生したら死活問題です) こういったサービスにデータを預けておけば、年齢確認書類の漏洩 は起きなかったたと思われます。7. そこまでしなくても暗号化すれば?
今回の事故では、データを暗号化していなかったことを指摘する方 が多かったように思います。 確かに年齢確認書類の利用頻度が高ければ、上述のような対応が 取りづらいのは事実です。 ですが筆者は「暗号化しておけば100%安全」という認識は間違い であり、暗号化を否定はしないが推奨もしない、というスタンスです。 要は暗号化に頼りすぎるのは危険、ということです。 暗号化したものは正しい鍵があれば必ず解けます。 その鍵の組み合わせ数が膨大だから、現実的な時間内(例えば1日) で正しい鍵が見つかりっこない、と期待しているに過ぎません。 時間が無限にあれば、暗号は必ず100%解けます。 それでも「いや何億年後に解けたって意味ないし」と思われる方も 多いでしょう。 鍵が見つからない前提であればその通りです。 ですが、システムの中には鍵を生成するプログラムもあれば、鍵を 使って復号(暗号を解くこと)するプログラムもあるはずです。 存在しなければ、誰も暗号化したデータを復号できませんから。 であれば、犯罪者がそのプログラムを使って鍵を生成させたり、 データを復号してから盗むことも可能なはずです。 犯罪者がプログラムをうまく動作させられると限りませんので、 暗号化にもそれなりに意味はあります。 ですが「暗号化しておけば100%安全」でないことはもっと知ら れるべきだと強く感じます。8. まとめ
今回は omiai というマッチングアプリの運営元での情報漏洩を 元に、取り扱いの難しいデータの保管方法について解説しました。 今回の漏洩では年齢確認書類の写真が流出しました。 特に機微なデータを取り扱う場合、重要度によって事務所内で しか利用できないパソコンに保管する、クラウドストレージなど の外部サービスに保管する、といった使い分けが必要です。 これは、運用の利便性や効率を犠牲にするわけですから、十分 な検討と関係者間の意思統一が重要です。 何よりも「要らないデータは持たない」ことを強く認識すべき です。 今回の事故でも運営元はルールの見直しとして「データ保持期間 の全面的な短縮」、「保存方法とセキュリティ対策」を掲げて います。 最後になりますが、今回の事故で悪いのは不正アクセスによって データを盗んだ犯罪者です。運営元は脇の甘さはあったにせよ、 被害者であることは忘れてはならないと思います。 今回は情報資産の保存方法について解説しました。 次回もお楽しみに。