事故から学ぶ

お客さま情報が入った業務用パソコンへの不正アクセスのお知らせ 株式会社荏原製作所 株式会社イディア

事故概要

業種 製造業
発生時期 2020/01/17
漏えい人数 1,720人
事故概要

株式会社荏原製作所は、ポンプのメンテナンス業務を委託している協力会社の株式会社イディア(住所:東京都品川区、社長:渡邊和雅)のサービス員の業務用パソコンが第三者による不正アクセスを受け、2001 年 12 月以降の東京都、神奈川県を中心とした個人のお客さまの情報(1,720 件)が流出した可能性があると発表した。
被害にあった業務用パソコンには、1,720 件の個人のお客さまの情報(お客さま名、お客さま住所、お客さま電話番号)が記載された作業報告書データ等が入っていた。
当該のサービス員は、1 月 7 日の夕方、当該パソコンを使用中に第三者より遠隔操作の攻撃を受け操作不能となり、その後当該パソコンの使用は停止しております。また、警察及び個人情報保護委員会へ報告を行っております。なお、これまでに不正アクセスによりお客さま情報が外部に流出し利用された事実は確認されていないとしている。

引用元 株式会社荏原製作所

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

■ 推奨対策

対策:

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。
自社内PCのウイルス対策ソフトの最新化をタイムリーに行うこと。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。