情報漏洩を防ぐ最後の砦、
なぜデータベースの暗号化が重要なのか。
今は膨大な顧客データがデータベース化されて、自社またはクラウド上のデータベースサーバに情報を溜め込んでいる企業も数多くあります。その中でどれだけの企業が、データベース上の個人情報の漏洩対策をきちんと行っているでしょうか?そして万一個人情報漏洩が起こってしまった場合の影響等も把握しているでしょうか?今回は企業のセキュリティ担当者が把握しておくべき、データベースのセキュリティ対策について詳しく解説していきたいと思います。
データ漏洩とは
データ漏洩とはデータが外部に流出してしまうことをさします。これまでにもベネッセを始め、企業の顧客情報の流出事故などが話題になりましたが、現在も同様の流出事故は後を絶ちません。近頃の事例をいくつかあげてみます。
「大阪医科大46万件の患者カルテ情報流出、講義データ収集を目的に学生が教員用PCを不正利用(2018年8月29日)」
*参考:
「高知県立大学が不正アクセス被害、学内文書や個人情報が流出(2018年8月24日)」*参考:
「個人情報含むハードディスク盗難 埼玉県(2018年8月3日)」
*参考:
このようにいくつもの事例が最近でも報道されています。
データ漏洩の起こる原因
こうしたデータ漏洩はなぜ起こってしまうのでしょうか?主な原因をあげてみますと次のようなケースが考えられます。
・外部からの不正アクセス
・内部犯行
・ディスクの持ち去り
多くの人がイメージする原因が最初の「外部からの不正アクセス」だと思います。実際データベースを扱うサーバ管理者も、不正アクセスに対しては厳重にセキュリティをかけているかもしれません。しかしデータの漏洩は外部からの不正なアクセスや攻撃によってのみ引き起こされるわけではありません。始めにあげた事例でも大阪医科大学の例は、医学生が教授のPCに直接USBのメモリースティックをさした際に意図せず個人情報までコピーされてしまった例ですし、ハードディスクも盗難という物理的に持ち去られる被害によって流出が起こっています。
実は内部による情報漏えいリスクが非常に危惧されています。2014年9月にデータベース・セキュリティ・コンソーシアムが調査した調査結果でも、データベース管理者による情報持ち出しリスクが潜在的に高いことが指摘されています。データベースにアクセスできる人は、誰でもデータが抜き出せるということを念頭に置いてください。
個人情報漏洩が起こってしまったら
- 個人情報保護委員会への報告義務
2017年に施行された改正個人情報保護法では、個人データ漏洩時には個人情報保護委員会等へ報告義務が課せられています。個人情報保護委員会の「個人データの漏えい等の事案が発生した場合の対応について」によると
”個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、次のとおり速やかに報告するよう努める。”と規定されています。個人情報の漏洩を起こしてしまった場合にはこの規定に沿って報告する義務が厳しく課せられています。
- 報告する必要がないケース
同委員会の対応規定には同じく「報告を要しない場合」もあげられています。
・漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化
等の秘匿化がされている場合
引用:https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf
もし、きちんとデータベースを暗号化していた場合においては、仮に個人情報の漏洩が起こってしまったとしても個人情報保護委員会への報告が義務付けられていないのです。ここで述べられている「高度な暗号化等の秘匿化」とは、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、適切に実装されていることを推奨しています。
この規定からわかるようになんの対策もせずに情報がダダ漏れしてしまうケースと、きちんとデータベースに対して暗号化等の漏洩防止策を講じていた上での情報流出では、責任の上で重要度が違ってきます。
暗号化の重要性
個人データを含む可能性のあるファイルやデータを暗号化しておけば、 万が一、ファイルが窃取されてもファイルの内容は漏洩しないのです。最初にあげた事例の内部からの情報抜き取りや物理ディスクの盗難のようなケースでも、データが暗号化されていれば読み取ることはできません。
企業のシステム担当者の中には、うちは厳重なデータベース管理システム(DBMS)でセキュリティ対策をしているので大丈夫と思っている人もいるかもしれません。いくら厳重にデータベースへのアクセスを制御していても、一旦別のシステムや媒体にデータが書き出されてしまった場合は、そのデータへのセキュリティがおろそかでは容易にデータが盗まれてしまうことになります。最終的に不正アクセスされてしまった場合は、やはりデータそのものが暗号化されていることがデータを守るためには重要なのです。しかし中には、データベースの高速化を重視し、システムにオーバーヘッドになり得る暗号化の技術をあえて導入するシステム管理者ばかりではないのが現状です。
個人情報が流出した際のリスク
ECサイトを運営している会社ならば、顧客の氏名や住所としった個人情報以外にもインターネット上で入力したクレジット情報なども全てデータベースサーバに格納されます。これらの情報が悪意のあるハッカーによって抜き取られるリスク、内部の社員によってデータベースに不正アクセスされて持ち出されるリスクを考慮してみてください。
JNSA(日本ネットワークセキュリティ協会)が2017年に新聞やネットニュースなどで報道された個人情報漏洩インシデントの情報を集計し以下の通り報告を行っています。
■2017年個人情報漏洩インシデント概要データ
- 漏洩人数:519万8,142人
- インシデント件数:386件
- 想定損害賠償総額:1,914億2,742万円
- 一件あたりの漏洩人数:1万4,894人
- 一件あたり平均想定損害賠償額:5億4,850万円
- 一人あたり平均想定損害賠償額:2万3,601円
これだけの個人情報漏洩事案が発生し、その一件あたり平均想定損害賠償額は5億円以上にものぼるのです。
リスクは巨額の賠償金だけではありません。報道されることによって企業のブランドイメージ失墜も免れません。
さらに衝撃的なのは、JNSAの分析では上記インシデントの発生した原因として、誤操作 25.1%(97件)と紛失・置き忘れ 21.8%(84件)が上位1,2位として全体の約半数にあたる原因として報告されていることです。
個人情報の流出リスクはどの企業、団体にも起こり得ることであり、一旦起こしてしまうと巨額の賠償金や信用の失墜などを招くことを留意してください。そしてこうした流出を防ぐには、データベースの暗号化は最後の砦となるのです。