堺市 元職員による情報流出事案に関する考察

こんにちは。情報セキュリティ・コンサルタントの中野です。
先週発表された堺市情報流出事案に関する調査結果について取り上げます。
 
堺市の情報流出事案は昨年12月に公表されました。
今年2月に「堺市個人情報流出事案検証委員会　報告書」が公表され、この中では流出経緯、影響範囲、再発防止策の実施状況等についてある程度具体的に報告がなされていますが、今回公開されたものは最終報告のような位置づけとなっております。
ファイルダウンロード　新規ウインドウで開きます。元市職員による個人情報流出事案に関する調査結果について（報告）（PDF：245KB）
 
私はコンサルタントとして数多くの企業の情報セキュリティ対策の立案に携わってきました。その中で、いくつかの企業の情報漏えい事案も経験することになりました。
内部不正対策は本当に難しい。私だけでなく当社のコンサルタント全員の共通認識です。
いつ、どのような形で顕在化するのか、統計的に予測できないのです。つまり、どこまでのコスト、リソースを割けば良いのか全く分からないのです。
 
上記を踏まえた上での私見になりますが、果たして調査方法や報告内容が適切なものだったのか。
私は首をひねらざるを得ません。
少なくとも私がこれまで携わってきたインシデント事案では、このレベルのレポートを出すことはなかったように思います。
内部不正のリスクをゼロにすることは不可能です。標的型攻撃も同様です。
インシデントが発生した後の行動が非常に重要なのではないでしょうか。

＜関連情報＞

一覧へ