北海道大学工学部ウェブサーバに不正アクセス、23,554件の個人情報が流出
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
今回の解説ニュース
Webサーバに不正アクセスがあり、個人情報が漏洩した可能性があるということです。情報漏洩のセキュリティ対策としてデータを暗号化することの有効性や、自社で行うことができる脆弱性の探し方について説明します。
今回のインシデントは、データベースに保存されていた個人情報が流出した可能性があるというものです。原因として、Webサーバに第三者からの不正アクセスがあったことが挙げられています。
対策として、異常検知後に、攻撃元を含む学外からの通信を遮断し内部調査を実施するとともに、専門機関による外部調査を実施し、本件以外の技術的問題がなかったことを確認しています。また、対象の顧客に別途、メールにて個別に連絡を行っており、現在はデータベースと切り離した新たなWebサーバを稼働させています。再発防止策として、運用している各種サーバやシステムの構成について見直しを始めています。また、運用方法の見直しや定期的に評価と検証を行う体制を整えるなど、セキュリティ対策室と連携して情報セキュリティに対する取り組みを強化するということです。
データを暗号化することの有効性
データの暗号化は個人情報の漏えいに有効なセキュリティ対策の一つですが、単独で完全なセキュリティ対策とはならないことに注意が必要です。
暗号化されたデータは、暗号化に使用した鍵がない限り閲覧することができません。よって、データベースに第三者から不正アクセスされたとしても、情報を盗み見されることを防止することができます。個人情報保護法などでは、個人情報の適切な管理を求めており、暗号化は有効な手段の一つとして認められています。
ただし、データの暗号化に強力な暗号化アルゴリズムを利用しないと、暗号化されたデータが解読されてしまう可能性があります。また、暗号化に使用した鍵を厳重に管理しないと、鍵が第三者の手に渡ってしまうことで、暗号化されたデータが複合化されてしまう可能性があります。よって、誰が、どのようなデータを暗号化し、どのように鍵を管理するのか、明確なルールを定めることが求められます。