連日セキュリティ関連のニュースが飛び交っています。
今日はクレジットカード決済サービスのメタップスペイメント社で発生した、
46万件のクレジットカード情報流出事件です。
同社のホームページにセキュリティについて以下のうような記載があります。
———————————————————————
「お客様からお預かりした情報資産をはじめ、会社の情報資産をあらゆる脅威からの保護するため、十分な情報セキュリティ対策を確保することが当社の重要な経営課題と認識し、以下方針を定め、これを推進します。」
・情報セキュリティ管理体制
・リスクアセスメントの実施
・情報セキュリティ対策の実施
・情報セキュリティ向上のための教育の実施
・自己点検および監査による見直しの実施
・継続的改善
・法令遵守
——————————————————————-
そして今回の件で問題となっている話題の一つが
クレジットカードのセキュリコードなどの「機密認証データ」の保存についてです。
本来、認証処理後は保存してはいけない機密認証データが流出したということは、
これらのデータを保存していたということ。
ホームページで謳っているセキュリティへの取り組みは機能していたのでしょうか。
何もメタップスペイメント社を叩こうというわけではなく、
一般的に社外に向けた高尚なメッセージと実際の社内体制、運用に乖離があるケースが
目立つような気がします。
本音と建前というやつでしょうか。
人材を含めたセキュリティ運用への投資が絶対的に少ないケースが多いと感じます。
「日本のセキュリティはちょろい」と世界の(悪い方の)ハッカー達から認識され、
日本企業というだけで、”まずはアタックしてみるか”ということになってしまわないか
心配です。
安全や規律より利便性を優先しがちな文化もこれらの要因の一つかもしれません。
まずは自分のアカウントのパスワードの見直しや多段階認証化、
開きまくっているポート、大は小を兼ねている権限、パッチを当てていないシステム、
等々、身近なところから見直してみてはどうでしょうか。
セキュリティは基本的なことの積み重ねなのかもしれませんね。