情報漏洩対策:顧客データベース暗号化に関する実態調査
〜熱い注目を集める新漏洩対策
データベース暗号化で顧客データ漏洩を水際で防ぐ〜
顧客データベース暗号化の実施率35%、暗号化が必要だと思う90%
サイファーゲート株式会社(本社:東京都千代田区、代表取締役社長:石崎 利和)とマイボイス株式会社(本社:東京都千代田区、代表取締役社長:高井 和久)は、「顧客データベース暗号化に関する実態調査」について共同調査し、2006年8月4日〜7日に440件の回答を集めました。本調査結果について発表いたします。詳細な結果はサイファーゲート社ホームページよりダウンロードできます。( http://www.ciphergate.co.jp )
■ 調査概要
調査対象:インターネットコミュニティ「MyVoice」の登録メンバー
金融・保険業、運輸・通信業、サービス業の従業員300人以上の企業において情報システム業務に携わっている30歳以上のメンバーを対象。
調査方法:ウェブ形式のアンケート調査
調査時期:2006年8月4日〜8月7日
回答者数:440(金融・保険業:79、運輸・通信業:75、サービス業:286)
【データベース暗号化について】
データベース暗号化とはデータベースセキュリティ手法のひとつで、Oracel、DB2、SQL Server等のデータベースに格納されている重要なデータを暗号化して保護する手法。万が一、外部からの不正アクセスや内部関係者がデータを外部に持ち出しても、暗号化されているので解読されない限りデータは保護される。企業側はネットワークセキュリティ対策や物理的なセキュリティ対策を実施してきたが、漏洩事故・事件は拡大する一方であり、これを防ぐには重要な顧客情報が格納されているデータベースそのものを守る必要が生じている。
今までは例えるならば「玄関の鍵を閉めても、金庫に鍵をかけていない」という状態であり、データベースセキュリティとは「金庫に鍵をかける」といったソリューションである。
【調査結果】
〜顧客情報漏洩は
事業継続性を左右しかねない重要な問題であると、ほぼ100%が認識〜
顧客情報の漏洩事故、事件は今や企業の存続に関わる事業性継続に関わる問題
だという認識が全業種で100%近くの回答が出た。漏洩による巨額の損害賠償
請求、お詫び状や金券の配布、コールセンターの設置費用、システム対応費用、
顧客離れによる売上低下等が企業側にとって現実の問題となっており、その点
を憂慮した結果であると思われる。なかには、漏洩事故によって上場延期に
なった企業もあることを勘案すると、顧客情報漏洩対策は企業にとって優先
すべきリスクマネジメントのひとつであることは疑い容れない。
しかしながら、現状の情報セキュリティ対策ではいつかは顧客情報の漏洩が
発生するのではないかと不安を感じているとの回答が65%あった。
〜ネットワーク・物理的セキュリティ対策はほぼ完了。
データベースセキュリティ対策で先行している金融・保険業〜
漏洩対策として、企業側はネットワークセキュリティ対策や物理的なセキュリティ対策はほぼ完了している状況である。調査結果においても、Firewall、IDS、SSL等のネットワークセキュリティ対策はほぼ完了しているとの回答は89%、サーバールーム内の監視カメラや入退出管理等の物理的セキュリティ対策をほぼ完了しているとの回答は75%に上った。一方、顧客情報が格納されている本丸と言うべきデータベースへのセキュリティ対策については、ネットワークと物理的セキュリティ対策より低い実施率となっている。また業種毎に対策度合いにバラツキがあり、金融・保険業が先行している一方サービス業は立ち遅れている感がある。
〜データベースセキュリティ対策:アクセス制御は66%が実施、
アクセス・ログ監視は70%が実施、一方暗号化の実施は35%〜
金融・保険と運輸・通信は先行して顧客データベースセキュリティ対策を施しており、データベースへのアクセス制御対策は金融・保険は78%、運輸・通信は73%実施している。またデータベースへのアクセス監視・ログ監視は金融・保険は88%、運輸・通信は83%が実施済みである。しかしながら、データベース暗号化の実施率は他の対策と比較して低い。金融・保険で52%、運輸・通信で44%、サービスでは28%にとどまる。
〜顧客データベース暗号化は情報セキュリティポリシーに
60%以上盛り込まれている〜
DB暗号化の実施率は他の対策に比べ著しく低いにも関わらず、DB暗号化の有効性や必要性を認識している回答は90%以上にも上る。さらに優先課題だと思う回答も80%になった。
また、情報セキュリティポリシーやコンプライアンスポリシーに「顧客情報などの重要なデータの暗号化」を盛り込んでいる企業は全体で60%、金融・保険では75%を超えている。この背景には今まであらゆる対策を行ってきたが、それでも漏洩は止まらないので、本丸というべきデータベース自体を暗号化して万一流出しても漏洩は防ぐといった、水際での対策の有効性が認識され始めていること、そしてFISC(金融情報システムセンター)等のガイドラインへの準拠といった法制面からの要請も強くなっていることが、企業のポリシー策定に影響を与えていると考えられる。よって技術面でのデータベース暗号化の実装はこれから本格的になると予想される。
〜データセンターに求められる暗号化状態での運用〜
昨今、他社のデータセンターにアウトソースする企業が増えているが、その委託先から情報が漏洩するのではないかと不安を感じている人が全体で83%にも上る。データセンター側、委託側企業ともに暗号化状態での運用が急がれる。
サイファーゲート株式会社
U R L : http://www.ciphergate.co.jp/