売却されたベネッセ顧客情報は約3504万件 - コピー禁止が新型スマホで機能せず

さらに、データベースから大量の情報を持ち出す際、他システムでは管理者へアラートが通知されるよう設定していたが、問題のシステムでは実施していなかった。操作ログについても取得していたものの、定期的なモニタリングによるチェックを実施しておらず、早期発見ができなかったとしている。

同社はこうした調査結果を受け、実施しているセキュリティ対策への過信をはじめ、経営層におけるITリテラシーの不足、性善説による監査体制の運用など、不備があったことを認めた。今後は、組織モデルの構造改革や、グループのITガバナンス強化に取り組み、外部監視機関を新設。データの管理は、ラックと設立する合弁会社で行い、グループ外への業務委託は行わない方針。

またシステムにおけるセキュリティの緊急対策として、ラックによる監査を実施。アクセス権限の見直し、パスワード管理強化、端末に対するダウンロードの監督者設置、大量データのダウンロード時のアラート設定、業務端末における外部記録媒体との接続禁止、アクセスログの定期チェック、執務スペースへの私物電子機器、記録媒体の持ち込み禁止、監視カメラの導入など行ったという。

（Security NEXT - 2014/09/10 ） ツイート

PR

関連記事

経済産業省、個人情報漏洩でベネッセに報告徴収の要請
「ベネッセの介護相談室」が改ざん被害 - 外部サイトへ誘導
IPA、セキュリティ人材確保に向けたシンポジウム - エストニア元大統領や米サイバー軍元司令官も登壇
日本ネットワークセキュリティ協会、「JNSA賞」の受賞者を発表
6000万件から1億件強のDBを保有 - 名簿業者実態調査
印象が悪かった不祥事ランキング - 年金機構問題が6位
全世界で情報漏洩は10億件超に - ベネッセ事件の深刻度は6番目
ベネッセ装う詐欺電話に注意 - 介護施設費用や会員権取引装う
ベネッセHDら、ISMSの国際規格「ISO 27001」を取得
日本年金機構の個人情報漏洩に便乗する「個人情報削除詐欺」へ警戒を