処分だけでは済まされない さて、N氏の今後の処遇については、人事部や上司である支店長などが検討しました。N氏本人が流出させたわけではないものの、無罪放免では済みません。社会が納得するであろうとして、依願退職という形になりました。しかし、N氏は50代です。この状況下では、簡単には就職口が見つかりません。退職金が支払われましたが、定年退職を目前にしていたN氏にとっては本当に辛いことでした。 事件はあまりも社会的影響が大きく、通常なら人事部が再就職先の仲介をするのですが、それも全くありませんでした。たまに面接までに至っても、事件のことを明らかにするとほぼ100％「不採用」の返信が来るという状況でした。やっとのことで銀行時代に懇意にしていた企業の経営者からの紹介で、警備会社に就職できましたが、収入は銀行員時代の3割に届くかどうかというほどに減ってしまったのです。 それでも就職口があるだけましと考え

三菱UFJ証券は2009年5月20日、同社システム部の部長代理だった元社員（4月8日付で懲戒解雇処分）が不正に取得した約148万人分の顧客情報のうち約5万人分を売却した事件で、情報を売却された約5万人に1万円相当のギフト券を送付すると発表した（関連記事1、関連記事2、関連記事3）。この種の漏洩事件の謝罪として1万円は異例の高額。これまでの相場は500円から1000円程度だった。 「顧客におかけする迷惑に対しての、我々のお詫びの気持ちとして受け取っていただきたい」と会見した秋草史幸社長は陳謝した。1万円という金額については、有識者らの意見や過去の事例を参考に「顧客の皆様におかけする迷惑と事件の重大性をかんがみて、総合的に判断した」と説明する。総額で5億円近い費用は三菱UFJ証券が負担する。元社員への損害賠償も今後検討するが、今回のお詫び送付とは別の話とした。 同事件では顧客情報が名簿業者に売

従来の情報セキュリティ対策は外部からの攻撃への対処が中心だったが、近年は身内の不正や過失による情報の漏えいの増加が深刻さを増している。そこで新たな対策として盛り上がりを見せ始めているのがDLPという手法だ。 情報漏えいはなぜ止まらないのか？ 企業の情報流出は、企業価値を著しく毀損する。経営情報や顧客情報、特許情報、研究データなど企業の情報資産は金額に代えることできない価値であり、その保護は重要な経営課題の1つといえるのだが、現実はどうだろうか。 個人情報保護法やJ-SOX法などの法制度が整備される一方で、ISMS（情報セキュリティマネジメントシステム）認証やプライバシーマーク（Pマーク）の取得、各種ネットワークセキュリティ製品の導入を進めてはいるものの、情報漏えい事故は減少しておらず、むしろ増えているのが実情だ。 日本ネットワークセキュリティ協会が発表した「2008年上半期情報セキュリティ

IPAは、企業のシステム管理者やPC利用者を対象に、ゴールデンウィークの長期休暇を控えたセキュリティ対策の徹底を呼び掛けている。 情報処理推進機構（IPA）は4月23日、ゴールデンウィークを控えてのセキュリティ対策に関する注意喚起を行った。企業のシステム管理者やPC利用者が確認すべき項目を紹介している。 システム管理者向けには、ファイアウォールや侵入検知システム（IDS）などの設定、該当する修正プログラムの適用、データのバックアップなどの基本的なセキュリティ対策内容を再確認するよう呼び掛けている。 具体的には、不測の事態が発生した場合の緊急連絡体制の整備、サーバでの不必要なサービスの停止、使用しないサーバやPCの停止、業務用PCやデータを組織外に持ち出す場合の管理を明確にすべきという。 PC利用者には、ゴールデンウィーク期間中にシステム管理者が不在になる場合もあり、ウイルス被害やWebの改

企業の重要情報を狙う攻撃者は、システムの脆弱性を徹底して狙う。仮に成功率が低いとしても、大金を獲得できる可能性があれば容赦なく攻撃しているという。 米Verizon Businessがこのほど発表した企業の情報漏えい事件に関する実態調査報告書では、2008年だけで侵害を受けた企業の重要データの件数が過去最高になることが分かった。同社の日本法人が4月23日、報告書の解説を記者向けに行い、攻撃者が金銭つながる重要データを標的にする実態を紹介した。 報告書では、同社が2008年に調査を担当した90件のデータ侵害事件の傾向をまとめた。侵害を受けたデータ件数は2億8500万件で、2004～2007年の累計2億3000万件を大幅に上回っている。 侵害理由のトップは、システムへのハッキングで事件全体の64％、侵害されたデータの94％を占めた。2位はマルウェアで、それぞれ38％と90％を占めており、この2

米Intelは4月22日、ノートPCのセキュリティに関する調査結果を発表した。盗難や紛失によって企業が被る被害額は平均4万9246ドルに上るとしている。 調査はIntelがPonemon Instituteに委託して実施。世界各地の空港やタクシーの中、ホテルといった場所でノートPCがなくなったり盗まれたりした138件のケースについて分析し、平均被害額4万9246ドルという数字を算出した。 この金額の中にはノートPCの買い替え、調査、情報流出、知的財産の損失、生産性喪失、法的対応などの経費が含まれる。中でも情報流出に関する経費が80％を占め、ノートPC本体よりも、保存されている情報のために被害額が膨らんでいた。 紛失にどれだけ早く気付くかによっても被害額は変わってくるといい、ノートPCを無くした当日のうちに見つけた場合は被害額は8950ドルで済むが、1週間以上経過すると11万5849ドルに膨

三菱UFJ証券は4月17日、顧客情報の漏えいに関する調査の経過報告を行い、顧客情報を入手した名簿業者が80社程度に上ることを明らかにした。同事件では警察が不正アクセス禁止法違反の疑いで捜査を継続している。 事件は同社システム部の部長代理（すでに解雇処分）の男性が不正に顧客情報データベースから約148万人の顧客情報を持ち出し、このうち4万9159人分の氏名と住所、電話番号、性別、生年月日、職業、年収区分、役職、勤務先の情報を3社の名簿業者に売り込んでいた。 当初、顧客情報は男性が売り込んだ名簿業者が転売した先を含め13社の名簿業者に上るとしていた。しかし、その後の調査でサンプルだけを入手した業者を含めて29社に上ることが確認された。同社顧客からは50社程度のほかの名簿事業者に関する情報も提供され、合計では80社程度に流通している可能性があるという。 同社では、名簿業者に対して顧客情報の利用停

米Verizon Businessは4月15日、企業の情報漏えい事件に関する実態調査報告書を公開した。部外者に起因する漏えいが全体の74％を占め、セキュリティ管理の仕組みを見直す必要性があると指摘している。 報告書は、2008年に同社が調査対応した情報漏えい事件の動向を分析したもので、今回で2回目となる。漏えいしたデータの件数は2004～2007年の累計で2億3000万件だったが、2008年は2億8500万件となり、大幅に増加した。 漏えいしたデータのうち、74％は部外者に起因し、特にビジネスパートナーが関係するものが32％を占めた。部内者が起因するものは20％だった。64％は複数の要因が関係して発生し、最も悪質なケースでは企業の過失を悪用して不正アクセスを行い、さらにマルウェアを仕掛けて情報を盗み出していた。 情報漏えい元の大半はサーバやアプリケーションで、漏えいしたデータの99％を占め

三菱UFJ証券での大規模な顧客情報の流出は、セキュリティ教育などを徹底していたというにも関わらず発生した。「起きないことが前提」とする対策に限界が生じているようだ。 4月8日に三菱UFJ証券が発表した約148万人規模に及ぶ大規模な顧客情報の流出では、顧客情報データへのアクセス権限を持つ元従業員が不正な持ち出しを図った。同社によれば、情報セキュリティ研修を徹底していたが、元従業員の不正行動を防ぐことはできなかった。 顧客情報を持ち出したのは、元システム部部長代理の男性で顧客情報データベースへのアクセス権限を有する8人のうちの1人だった。データベースへアクセスする際にほかの従業員のIDとパスワードを使用し、持ち出す際にはデータのコピー権限を持つ別の従業員へ虚偽の説明を行ってCDにデータを記録させ、自宅に持ち帰ったとされている。 今回のケースについて、情報セキュリティ大学院大学の内田勝也教授は、

情報処理推進機構（IPA）は8月30日、情報漏えい事件（インシデント）が発生した際の対応策のベストプラクティスをまとめた対応ポイント集を公開した。セキュリティの専門家がいない中小企業などを対象に、インシデント発生時の迅速な対応をするための「参考書」として提供する。 IPAが公開した「情報漏えい発生時の対応ポイント集」は、過去5年間に報じられた情報漏えい事件を基に調査／分析を行い、専門家が情報漏えいのタイプ別の対応マニュアルを小冊子として分かりやすくまとめたもの。内容は、インシデント対応における作業ステップや発表などに関するノウハウや、紛失・盗難、内部犯行、Winnyへの漏えい、ウイルス感染、風評・ブログ掲載といった情報漏えいタイプ別の対応作業や留意点が記されている。 IPAでは「インシデントが発生した場合に、対応チームが短時間に理解し、適切で速やかな対応ができるように参考書として役立ててほ

個人情報流出で企業が事後対策などに費やすコストは年々増大し、特に顧客離れなどに伴う損失額が増えていることが、このほど発表された2008年の情報流出コストに関する調査で分かった。 それによると、2008年に起きた情報流出での対応コストは1件あたり平均665万ドルとなり、前年の同630万ドルから上昇した。顧客情報1件あたりの平均金額で見ると、2007年の197ドルから2008年は202ドルに増えている。 特に顧客離れに伴う契約や売り上げの減少といったコストの増大が大きく、2005年の調査開始以来、この部分のコストは情報流出1件あたり64ドル（約40％）以上増加している。原因を見ると、全体の88％以上は内部関係者の過失や不注意が絡み、協力会社などサードパーティー組織の関与による情報流出も44％以上を占めていた。 調査は企業のデータ保護を手掛けるPGPがスポンサーとなり、調査会社のPonemon

Ponemon Instituteの調査によると、情報漏えいに起因する平均コスト（検出、通知、事業機会の損失などにかかわるコスト）は増加しつつあるようだ。企業にとって最大のコストは事業機会の喪失で、情報流出コスト全体の69％を占めている。 情報流出、特に外部の人間による情報流出はコストを発生させ、その金額は増加傾向にあるようだ。 情報流出に伴うコストに含まれるのは、関係者への通知に関連した費用だけではない。事業機会の喪失というコストも発生するのだ。そしてPonemon Instituteの調査によると、このコストは情報流出に起因するコストで最大の部分を占めている。 PGPがスポンサーとなって実施されたこの調査によると、2008年の情報漏えいに伴う対応作業（調査、通知、事後対策など）の平均コストは、情報1件当たり202ドルで、2007年の1件当たり197ドルと比べて増加した。 この調査では、

社外に持ち出したデータの紛失やうっかりミスによる流出が35.2％を占めている。内部関係者による窃盗は15.7％に増えた。 2008年に起きた企業や公的機関からの情報流出件数は前年に比べて大幅に増えたことが、非営利組織の米Identity Theft Resource Center（ITRC）がまとめた統計で分かった。 それによると、2008年に報告された情報流出の件数は656件で、前年の446件に比べて47％増加した。組織別に見ると、最多は一般企業の240件。次いで教育機関131件、政府・軍機関が110件、健康・医療機関が97件、金融機関が78件となっている。 流出した情報を暗号などの強力な手段で保護していたのはわずか2.4％のみ。パスワードを設定していたのは8.5％のみだった。 流出の原因は、マルウェア攻撃／ハッキング／社内関係者による窃盗が合計で29.6％を占めている。特に内部関係者が

Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find