--

--

コメント

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
管理者にだけ表示を許可する

この記事のトラックバックURL

http://welcomevac201world.blog84.fc2.com/tb.php/282-880f66ea

12

06

コメント

第62号「図書館システムの個人情報流出事件について」

情報が流出する主な原因は、
以下のように大別できます。

1.内部社員による不適切なデータの公開

2.サーバ攻撃によるシステムへの不正アクセス

3.人為的なミスによる公開


1は、社内の人間などが、
その情報(個人情報や機密情報)を意図的に
第三者へ公開することで発生します。

これを防ぐには、社員が相互に監視したり、
アクセス権限を設定し、閲覧できる人を最小限に抑えることで
対策するしかありません。


2は、システムのセキュリティ強度の問題です。
一般利用者が、管理者のデータにアクセスしたり、
データベースへ直接アクセスすることを禁止するシステムを作成すれば、
ほとんど問題ありません。

プログラミングの中には、セキュリティホールというものが
少なからず含まれてしまうため、
保守運用時に、都度最新のセキュリティ対策を施していくことで
対策します。


3は、公開すべきでないものを誤って公開したり、
情報の入ったパソコンを電車内に忘れるなどした場合に、
第三者から情報が流出することです。

これらも、1と同様の対策を施すことと、
社内の情報に対する認識を徹底することで、
対策します。



さて、先日の図書館システムの個人情報流出事件に対する回答が、
システムインテグレータの三菱電機インフォメーションズシステム株式会社から
発表されました。

まずは事件の概要です。

asahi.com
MDIS、図書館システムで個人情報流出、3図書館約3000人分
http://www.asahi.com/digital/bcnnews/BCN201012010019.html
**************************************************
三菱電機インフォメーションシステムズ(MDIS、門脇三雄社長)は、
11月30日、同社の図書館システム「MELIL/CS」を導入した
図書館3施設で個人情報流出が発生していたと発表した。

MDISは、9月28日にも同社の図書館システムのプログラムライブラリに、
岡崎市立中央図書館の利用者の個人情報を、
他の37か所の図書館システムに混入させる事故を起こしている。

インターネットからアクセス可能な状態で、
2か所の図書館のウェブシステムから計163人分の個人情報がダウンロードされたと確認している。

この事故を受けて他の図書館の調査を行ったところ、
新たに個人情報が流出していたことが判明。

MDISの図書館システムを仕入れ、
図書館に販売している九州地区のパートナー会社のサーバーから、
8月上旬、図書館利用者の個人情報がインターネットを通じて外部に流出していた。

個人情報は氏名、生年月日、住所、電話番号、図書名などを含む3図書館分、約3000人に上る。


MDISは、図書館システムの最新機能試験を導入先図書館で行っていた。
2000年から2010年7月までの間、個人情報が含まれていることに気付かず、
プログラムと一緒に自社に持ち帰り、
MDISの製品マスターに登録する作業が各拠点で行われていた。

その結果、図書館システムを採用したほとんどの図書館に
他の図書館の個人情報が存在するという事態になったという。

図書館システムを販売するパートナー会社のサーバーが、
誰でもアクセスできる状態(アノニマス設定)になっており、
第三者からプログラムとデータをダウンロードされ、
含まれていた個人情報が流出したという。
**************************************************


そして、こちらから、
三菱電機インフォメーションシステムズ株式会社の謝罪および、
今後の対応についての回答です。

弊社図書館システムに生じた問題について(お詫び)
http://www.mdis.co.jp/news/press/2010/1130.html
**************************************************
1.原因

弊社は、図書館システムの改良開発を行う際、
最新機能の試験などを導入先図書館の動作環境で行う場合があり、
作業後にはプログラムを自社に持ち帰ることがありました。

その際、個人情報が含まれていることに気付かず、
プログラムと一緒に持ち帰り、プログラムの一部を弊社の製品マスターに登録しました。

この作業は2000年から2010年7月までの間、弊社の各拠点で行われており、
図書館システム出荷の時点でも製品マスターの中に個人情報があることを
認識していませんでした。

この結果、弊社図書館システムを採用いただいた殆どの図書館に
他の図書館の個人情報が存在するという事態になりました。

弊社図書館システムは、
図書館へ直接販売する他にパートナー会社へ仕切り販売する形態があります。

弊社は上記の個人情報が含まれていることを認識せず、
パートナー会社へ図書館システムを販売し、かつ、
パートナー会社がサーバを誰でもアクセスできる状態(アノニマス設定)に誤って設定していたことから、
第三者にプログラムおよびデータをダウンロードされ、
そこに含まれていた個人情報が流出しました。

プログラムがダウンロードされたことは8月上旬に認識しておりましたが、
個人情報流出について、弊社の確認が不十分であったことから
流出情報の確定まで約4ヶ月を要する事態となりました。

2.処置

パートナー会社のサーバの流出経路は、既に、8月4日に閉鎖しており、
新たな流出はありません。

ダウンロードされた個人情報は、
各図書館と連携し、データの削除および保全に努めております。

各図書館システムに存在する他館の個人情報は、
通常の図書館業務メニューでは閲覧や複写などの操作を行うことはできず、
また、インターネットからアクセスできない領域に格納されています。

今回、弊社の図書館システムを採用いただいている全図書館を対象に
他館の個人情報の有無について調査を実施しました。

その結果を各図書館へご報告し、
弊社は各図書館のご了解を得て11月19日までに全て削除しております。

また、これらの個人情報は外部へ流出していないことも確認しました。

3.再発防止策

(1)個人情報を取り扱い、かつ、インターネットに接続されるシステムは、
 管理基準を高め、審査を厳格化します。

(2)出荷の際、個人情報が存在していないことを、
 検索ツールやクロスチェックで確認する検査を徹底します。

(3)図書館システム事業部門の製品マスターを開発部門で一元管理し、
 作業標準も見直します。

(4)問題が生じた場合は、個人情報を扱うシステムの品質・セキュリティーの専門家を参画させ、
 迅速な解決と情報共有を図ります。

(5)図書館システムをパートナー会社に販売する際、
 セキュリティーに関するガイドラインを提示し、万全を期します。

**************************************************


個人的な見解ですが、
これは大きな会社が起こすレベルの流出問題ではありません。

一番最初に取り上げた情報流出の大別で言うと、
3の人為的なミスによる公開にあたります。

しかもこれらが、
組織的なミス(チェック不足や情報の持ち帰りの一般化)にあたると言う点で、
この会社の情報に対する保護意識がいかに薄いかを
世の中に示してしまいました。

一戸建てを別の建築士さんにチェックしてもらうように、
この会社のシステムに関しても
他のSIerさんにチェックしてもらったほうがいいかもしれません。


また、この個人情報流出と同時に、
図書館システムはアクセス障害も一緒に発生していたようです。

概要としては、

・新機能に、新着図書情報を定期取得する処理が含まれていた。

・新着図書情報を定期取得する際に、
 他の利用者がアクセスできない状態が発生した。

・原因は、データベースの同時接続数が設定値を超えたため。

ということらしいのですが、
まともなシステムエンジニアがいれば、
これらの状態は、新機能の設計時にわかっていたはずです。
どうしてこのような事態が発生してしまったのでしょうか。


推測ですが、この会社は自分達の問題点に気づいていない可能性があります。
それは、自社の社員の技術力が、
パートナー会社の社員の技術力と均衡を保てていないことです。

大きなシステムインテグレータになればなるほど、
自社の社員に管理をさせ、
下請けの会社にシステム制作を依頼するようになります。

その際に、最新の仕組みや技術を知らないことや、
評価がきちんとできないことは、
ここ数年問題となっていました。
技術の空洞化です。

この三菱電機インフォメーションシステムズ株式会社も、
このような状況に陥っている可能性があります。


システム開発のプロジェクトは、規模も予算も大きくなる傾向がありますが、
大きな会社が自社の社員の手によって全ての開発を行っているところは、
今はほとんどありません。

下請けへの横流しや中国などへのオフショア開発は当たり前です。


このような事態を回避するために、
システムについて、全面的に信頼できる人材を、
会社のシステム監査として、
置くことをおすすめします。



最後に、今日のキーワードから私が連想した課題を
まとめています。
もしよければ、みなさんも一緒に考えてみてください。

考えた内容を僕宛て(vac@sheep.dog.cx)に送ってくださるとうれしいです!
できる限り個別に返信させて頂きます。

☆本日出た課題( ゚Д゚)⊃旦

・仕事の規模が大きい場合、
 自社内のみで対応できない事態を想定する。

 →方法は3つ検討している
  ・その仕事は断る。
  ・自社社員を増員して対応する。
  ・パートナー会社の社員を下請けとせず、協業として、
   会議体などに参加してもらう。
   (1社による舵取りではなく、あくまで代表者のみを選定し、
    パートナー企業全てと意見の交換、技術の共有を推進する)
関連記事
スポンサーサイト
管理者にだけ表示を許可する

この記事のトラックバックURL

http://welcomevac201world.blog84.fc2.com/tb.php/282-880f66ea

ようこそ!

ブロとも申請フォーム

ブロ友申請大歓迎です!
一覧に表示されるので自動で相互リンクになります!

>> ブロ友申請はこちら <<

検索フォーム

最近のコメント

メールフォーム

名前:
メール:
件名:
本文:

FC2ブログランキング

人気ブログランキング

人気ブログランキング

ブログ村

アクセスランキング

[ジャンルランキング]
育児
749位
アクセスランキングを見る>>

[サブジャンルランキング]
パパ育児
60位
アクセスランキングを見る>>

やーんは今、

ブロとも一覧

Designed by

Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。