Follow us on
ベネッセの件が(案の定)宜しくない気配になってきているので、経過途中であるが少し触れたい。
本件が表沙汰になった9日、たまたまではあるがとある会社さんにてベネッセをケースとして簡単な事業分析プレゼンを行っていた。事業ポートフォリオの経年変化などから「もしかするとオペレーションに問題を抱えてるというのがあるかも」とのコメントをしていた。プレゼンが終わり、別のチームとのmtgをしてる最中に「ベネッセが会見をするらしい」との話があり、発表されたのが本件であった。
初動で出されたのがこちらのリリースである(リンク先PDF)。
危機管理対応的な話はここでは割愛して、ざっと見ると分かることは、
・セキュリティ関係の実装対応も相応に進めている様子
・リリースの内容からしても事態把握を丁寧に進めており技術が完全にブラックボックスになって真っ黒ということもない
・全体的な様子からして、かなりしっかりした体制を取っているということが伺える
というところである。
また、5の原因究明のところに記載されている
弊社グループ社員以外の内部者(データベースにアクセスできる権限を持つ者)
ワンフレーズが内容矛盾していて気持ち悪い。書き間違えなりでないとしたら、権限系のところが穴になっていたのでは?との予想を、一緒に事態をウォッチしていた業界関係者と立てていた。同時に感じてた感想は「あー、これめんどくさい事案になるかも」というところとなる。
■ 技術上の穴になっていたポイント
どこが穴だったかについては、WSJの記事に記されている。
警視庁は男が専門知識を悪用し、DBの流出防止プログラムを解除して顧客情報を記憶媒体に複製したことを確認。(中略)DBには流出防止プログラムが備わっており、情報をダウンロードして記憶媒体に複製しようとすると、エラー表示が出る仕組みになっていた。男はこの防止プログラムを解除していたという。
単純なダダ漏れではないが、結局はアクセス権限周りの話であったと解せる。
本件を技術面も含めてどう解釈するといいかは、今後各所で議論されていくことと思われるが、ひとつ、グロースエクスパートナーズの鈴木雄介氏のコメントを紹介したい。
これが本当だとすると各所が大騒ぎにならないといけません。ただ、「すわ、セキュリティコンサルに依頼だ!」では、まったく解決になりません。むしろ、振り返って「自社のITマネジメントってどうなっている」を正しく理解した上で「で、これからどうしていく?」ということを考えないといけません。この事件はセキュリティの問題ではなく、ITマネジメントの問題なのです。
技術的な解釈の仕方についても(ひとつの見方ではあるが)示されているので、お時間のある方は全文をお読み頂ければ。
■ 何がめんどくさいのか
本件の問題をシンプルにまとめるなら、ITガバナンスとアクセス権限設計が出来てない、システムの話ではなく情報資産(無形の事業資産)についての運用設計が十分にされていなかった、とまとめられる。
冒頭でも触れたがベネッセはいわゆるセキュリティ対策についてはかなりきっちりと行っていて手順も踏んでいたと言える。しかし、この結果に繋がってしまったのもまた事実である。この両方の事実がどうも整合して理解しづらくなっている。そして、このガバナンスも含めてITマネジメントというテーマは長年議論されつつも、ずーっと解かれていないというか良く位置づけが整理されていない領域に思えている。というあたりに焦点が当たったのはある面いいことでもあるが、めんどうなテーマが出てきたな、とも。
その他いろんな議論が今後為されていくと予想されるが、個人的にはこの点を気にしてこの後の推移を見守りたい。
慶應義塾大学大学院 政策・メディア研究科 特任助教。神戸大学法学部(行政学・法社会学専攻)卒。NECソフトを経てインターネットビジネスの世界へ。独立後、個人事務所を設立を経て、08年にクロサカタツヤ氏と共同で株式会社企(くわだて)を設立。大手事業会社からインターネット企業までの事業戦略、経営の立て直し、テクノロジー課題の解決、マーケティング全般の見直しなど幅広くコンサルティングサービスを提供している。主な著書・監修に『マーケティング2.0』『アルファブロガー』(ともに翔泳社)など多数。
