先日、ベネッセから760万件のデータが流出しちゃいましたね
ベネッセの子会社シンフォームから再委託で派遣されたデータベース管理者がUSBにデータを移して、名簿業者に売っちゃった
というものです
あー、私の会社と同じ立場の会社ですね
私もIT業界で、データベースサーバの管理者権限は貰って仕事をしますから、いくらでも見ることは可能です
が...
こんなことやったら、個人的にも会社的にも前科一犯
うちの会社は損害賠償と業界からの総スカンで速攻クラッシュしますw
ある記事で「関係者全員にデータベースのアクセス権が与えられていた」ということを強調していましたが、ITを分かっていないですね
この権限は当然のことで、管理者を絞りすぎると、その人が倒れたら誰もデータベースにアクセス出来ないし、データベース自体に問題が発生した時に直せなくなります
今回の問題は、私の気がついたところで2点あります
1. 一つはUSBにコピー出来る
私はピンポイントで仕事をするタイプなので、いろんなお客さんのところで仕事をします
USBが使えるところは...
上場企業なら、9割がたUSBを使えません(管理者がPCにロックをかける)
ベネッセと子会社シンフォームは残りの1割ということです
モラルだけで漏洩は防げる、と思っていたんでしょうね
今のデータベースサーバなら760万件程度のデータは、速いと1分程度で吐き出します
100文字程度なら2GBのファイルになりますから、2分程度でUSBに移せます
「メンテナンスです~♪」で、10分程度で簡単に引き出せちゃいます
2. 検出機能が無い
今回の事件は、誰が漏洩させたかは記録をたどって判別できたわけですが、漏洩した時点で分からなかった
USBが使えるくらい甘いところなので、怪しいアクセスがあっても判別するシステムなんて実装はしていないでしょうね
この判別システムを作ると、凄まじいコストと労力がかかるので、データを出させない仕組みを作った方がいいとは思います
こういうのは、外資系とか(笑っちゃうくらい少数)の国内系だと...
USBは100%使えません
USBがダメでもインターネット経由で身内のサーバへ転送してしまう手も存在します
よって、インターネットには登録されたサイト以外アクセス出来ないように、かなり厳しい制限をかけます
作業用のPCはチェーンで移動不可
ハードディスクは暗号化(PCの中から持ち出すケース対策)
メールにファイルが添付された時は、メールサーバが自動的に中身を検出して、怪しいものは削除
外部とのデータやりとりはどうしても発生するので、ファイルの持ち出しは暗号化が解除できるPCが一台だけあって、責任者が許可して、管理者が暗号化を解除して、はじめて持ち出せる
それでも100%防げるかな?という感じですね
凄腕ハッカーにかかったら、100%防ぐことは難しいと思いますが...
今回の問題って、ITの完成度が低いことも挙げられると思います
完成度が低いから、セキュリティを上げると、作業が煩雑になって人件費も上がる、仕組みづくりでハードウェアやソフトウェアのコストも上がる
企業はIT予算の高さに疲弊気味ですが、利潤も追求しなくてはいけないので、その妥協点を見出さなくてはいけません
ベネッセは妥協点が低すぎですが、結局は人のモラルと契約でコストを抑えていることも現実です
私の個人的な意見ですが、ITの完成度って20%にも満たないです
完成度が低いから、仕様がコロコロ代わります
今持っているスマホだって、買うたびにメニューやら新機能やら、訳わからない単語やら...毎日のように出てくるアプリのアップデート...
あと20年位、ユーザはITの変遷に振り回されるでしょうね
チラ見した記事に「情報は正社員で管理すべき」とありましたが、それも的を得ていないです
ソフトウェアは、スマホのアップデート同様、ものすごい頻度で更新やアップデートが出てきます
とにかく、ソフトウェアの不具合が多すぎることと、客からの仕様拡張が激しいからです
これに追い付くためには、良質なエンジニアを置いていかないとダメで、外部の専門業者に頼めば100万でやってくるれる仕事も、社内の人間を育てていると人件費やら研修費で一人1000万くらいはかかってしまいます
不具合が多すぎるので、経験値がかなりウエイトを占めます
社内の人間を育てても、上手くいかないリスクは高いです
技術の知識だけでは、不具合に対応したソフトウェアに、別の不具合があることなんて日常茶飯事の現在、このような情勢を企業の情報システムでは常識になっています
それだけ、今のITって完成度が低いわけですが...
完成度が低いといえば、今はまだ妄想ですが、ユーザインタフェースは大きく変わると思います
私達がPCを操作する、という動作を考えると...
目で画面を見る
マウスとキーボードを手で操作して入力
最近だと音声で文字が出せるようになりました
今後の変遷で以下のように変わるとみています
目で画面を見る、または脳に直接画像信号を送る
さすがに映画「マトリックス」のように、首にプラグを突っ込んで、というのは抵抗がありますね
マウスは目線
キーボードは脳波(思うこと)、声(音声)、表情に変わる
長い間同じ人と付き合うと、目線や表情で相手が何を言いたいか分かるようになりますよね?
それと同じように表情や、もしかすると、生体反応(脈や血圧、体温など)でもコンピューターが反応するになるかもしれません
これから、音声認識が主流になって、職場や街中でひとりごとが溢れかえる世の中になるかもしれません
うわっ!キモっ!
と思うかもしれませんが、心配ありません
みんなが実行して、当たり前になれば、それが常識になります
ベネッセの子会社シンフォームから再委託で派遣されたデータベース管理者がUSBにデータを移して、名簿業者に売っちゃった
というものです
あー、私の会社と同じ立場の会社ですね
私もIT業界で、データベースサーバの管理者権限は貰って仕事をしますから、いくらでも見ることは可能です
が...
こんなことやったら、個人的にも会社的にも前科一犯
うちの会社は損害賠償と業界からの総スカンで速攻クラッシュしますw
ある記事で「関係者全員にデータベースのアクセス権が与えられていた」ということを強調していましたが、ITを分かっていないですね
この権限は当然のことで、管理者を絞りすぎると、その人が倒れたら誰もデータベースにアクセス出来ないし、データベース自体に問題が発生した時に直せなくなります
今回の問題は、私の気がついたところで2点あります
1. 一つはUSBにコピー出来る
私はピンポイントで仕事をするタイプなので、いろんなお客さんのところで仕事をします
USBが使えるところは...
上場企業なら、9割がたUSBを使えません(管理者がPCにロックをかける)
ベネッセと子会社シンフォームは残りの1割ということです
モラルだけで漏洩は防げる、と思っていたんでしょうね
今のデータベースサーバなら760万件程度のデータは、速いと1分程度で吐き出します
100文字程度なら2GBのファイルになりますから、2分程度でUSBに移せます
「メンテナンスです~♪」で、10分程度で簡単に引き出せちゃいます
2. 検出機能が無い
今回の事件は、誰が漏洩させたかは記録をたどって判別できたわけですが、漏洩した時点で分からなかった
USBが使えるくらい甘いところなので、怪しいアクセスがあっても判別するシステムなんて実装はしていないでしょうね
この判別システムを作ると、凄まじいコストと労力がかかるので、データを出させない仕組みを作った方がいいとは思います
こういうのは、外資系とか(笑っちゃうくらい少数)の国内系だと...
USBは100%使えません
USBがダメでもインターネット経由で身内のサーバへ転送してしまう手も存在します
よって、インターネットには登録されたサイト以外アクセス出来ないように、かなり厳しい制限をかけます
作業用のPCはチェーンで移動不可
ハードディスクは暗号化(PCの中から持ち出すケース対策)
メールにファイルが添付された時は、メールサーバが自動的に中身を検出して、怪しいものは削除
外部とのデータやりとりはどうしても発生するので、ファイルの持ち出しは暗号化が解除できるPCが一台だけあって、責任者が許可して、管理者が暗号化を解除して、はじめて持ち出せる
それでも100%防げるかな?という感じですね
凄腕ハッカーにかかったら、100%防ぐことは難しいと思いますが...
今回の問題って、ITの完成度が低いことも挙げられると思います
完成度が低いから、セキュリティを上げると、作業が煩雑になって人件費も上がる、仕組みづくりでハードウェアやソフトウェアのコストも上がる
企業はIT予算の高さに疲弊気味ですが、利潤も追求しなくてはいけないので、その妥協点を見出さなくてはいけません
ベネッセは妥協点が低すぎですが、結局は人のモラルと契約でコストを抑えていることも現実です
私の個人的な意見ですが、ITの完成度って20%にも満たないです
完成度が低いから、仕様がコロコロ代わります
今持っているスマホだって、買うたびにメニューやら新機能やら、訳わからない単語やら...毎日のように出てくるアプリのアップデート...
あと20年位、ユーザはITの変遷に振り回されるでしょうね
チラ見した記事に「情報は正社員で管理すべき」とありましたが、それも的を得ていないです
ソフトウェアは、スマホのアップデート同様、ものすごい頻度で更新やアップデートが出てきます
とにかく、ソフトウェアの不具合が多すぎることと、客からの仕様拡張が激しいからです
これに追い付くためには、良質なエンジニアを置いていかないとダメで、外部の専門業者に頼めば100万でやってくるれる仕事も、社内の人間を育てていると人件費やら研修費で一人1000万くらいはかかってしまいます
不具合が多すぎるので、経験値がかなりウエイトを占めます
社内の人間を育てても、上手くいかないリスクは高いです
技術の知識だけでは、不具合に対応したソフトウェアに、別の不具合があることなんて日常茶飯事の現在、このような情勢を企業の情報システムでは常識になっています
それだけ、今のITって完成度が低いわけですが...
完成度が低いといえば、今はまだ妄想ですが、ユーザインタフェースは大きく変わると思います
私達がPCを操作する、という動作を考えると...
目で画面を見る
マウスとキーボードを手で操作して入力
最近だと音声で文字が出せるようになりました
今後の変遷で以下のように変わるとみています
目で画面を見る、または脳に直接画像信号を送る
さすがに映画「マトリックス」のように、首にプラグを突っ込んで、というのは抵抗がありますね
マウスは目線
キーボードは脳波(思うこと)、声(音声)、表情に変わる
長い間同じ人と付き合うと、目線や表情で相手が何を言いたいか分かるようになりますよね?
それと同じように表情や、もしかすると、生体反応(脈や血圧、体温など)でもコンピューターが反応するになるかもしれません
これから、音声認識が主流になって、職場や街中でひとりごとが溢れかえる世の中になるかもしれません
うわっ!キモっ!
と思うかもしれませんが、心配ありません
みんなが実行して、当たり前になれば、それが常識になります