ソフトバンクBBの事例に学ぶ
事件は存亡に関わる問題 根本から見直した  2005/01/20

451万件の顧客情報流失――。2004年3月に報道されたソフトバンクBBの事件は、同社に大きなダメージを与えた。しかし、その後対策を進め、「情報セキュリティの最も進んだ企業になった」と自負するまでになった。

会社データ

名称

ソフトバンクBB株式会社

代表者

代表取締役社長兼CEO 孫正義

事業内容

Yahoo! BB」を中核としたブロードバンドインフラサービスの提供。技術開発、営業、販売、サポートまでを一貫して行なう。またIT関連の流通事業とサービスを提供し、ブロードバンドやイーコマースの関連事業会社を統括、管理する

資本金

1480億円

URL

http://www.softbankbb.co.jp/

「外部記憶メモリが接続されました」――。電子表示板にその端末のIPアドレスやMACアドレスが表示される。スタッフが緊張する瞬間だ。ソフトバンクBBのセキュリティオペレーションセンター(SOC)は24時間体制で、社内のクライアントからサーバまですべてのシステムを監視している。危険な動きをリアルタイムで察知する、いわば同社の情報セキュリティ中枢である。

厳重な入退室管理を行った先にあるSOC。ソフトバンクBBで利用されるPCはここの監視下にある

ソフトバンクBBは2004年3月、顧客の個人情報が漏洩したとして報道された。1月に同社の顧客情報を人質にして、恐喝を受けていたことが公に知らされることになったのだ。451万人ともいえる大規模漏洩事件ともあり、影響は大きかった。ソフトバンクBBが事件後に行った対策の象徴が、社内に設置したこのSOCといえる。

SOCに入るには、社員証を利用したカード認証、監視カメラ、警備員、そして金属探知用のゲートを抜けなければならない。男性であれば上着を脱いでから入る必要があるため、入り口の脇には電子錠が付けられたロッカールームも用意されている。この先には、同社が「レベル4」「レベル3」と呼ぶ高セキュリティエリア、顧客情報を扱えるPCが設置されている。

一般社員の業務エリアは、それよりも低いレベル2と位置づけられており、顧客情報には一切アクセスすることはできない。必要に応じて申請を出し、SOC内の監視カメラの下で顧客情報を扱う必要がある。

行った対策は、総額で数十億円ともいわれる膨大な予算をつぎ込んでのもの。各社がすぐに真似をできるようなものではない。しかし、一歩進んだ情報漏洩の対策事例として、ソフトバンクBBから学ぶべきものは多い。

従来のやり方では改善できない

「事件は大きかった」。事故を受けて個人情報保護対策の責任者としてCISO(情報セキュリティ最高責任者)に就任した阿多親市常務は振り返る。「社の存亡に関わる事態だった。従来のやり方で改善ができるとは到底思えなかった。根本から見直しを行わせてもらう。そんなやり方を取らざるを得なかった」と続ける。

事件後、CISOの任務に就いた阿多氏。「CISOという役割は企業の情報システム依存が高まる中で必要とされてきている」

同社にとっては、図らずも事件が個人情報保護のドライブ要因となってしまったわけだが、事故に学んだ結果、現在のSOCに代表される徹底した対策が行われた。それほど顧客情報の漏洩はインパクトが大きい。

対策は、ドラスティックだった。しかし、一夜にしてガラリと変わったわけではない。そう阿多氏は指摘する。まずできるところからスタートした。

「何年もかけて作ってきた業務システムや、プロセスをすぐに変えることはできない。もちろんシステムが翌日から突然セキュアになるわけもない。すぐに変えても問題がないのは、個人情報に対するアクセス権、これを徹底的に整理することから始めた」

事故の発覚直後、顧客データベースへ接続できるアクセス権を発行する人間を3名に集約。当初は紙ベースの稟議書で、短期的なIDとパスワードを申請しなければ、顧客情報を扱えないような緊急対策を施した。

「これでは不便なのは明らか。業務に大きな支障が出たのも事実。しかし、やむを得ない。これができなければ、いくら売り上げを上げたとしても会社の存亡の問題なのだから」

同時に、アクセス権だけでなく、USBメモリをはじめとする外部記憶装置の利用禁止、PCやPDAなどの持ち込み/持ち出しも禁じた。特に、エンドユーザーとの直接の接点となるコールセンターでは、USBポートはOSレベルでも、物理的にも利用できないようにし、PCはすべてワイヤーで固定。従業員にはポケットのない制服の着用も義務付け、入退室用にフラッパーゲートを設置するなど物理的な対策を進めた。


その後、顧客情報へのアクセス権の申請は、2、3カ月間をかけてWebベースの申請システムへと落とし込んでいく作業を行った。第一に問題をふさいで、ルール(ポリシー)を見直す。そして、運用効率を上げるためにシステム化する。この順序でソフトバンクBBは重きを置いて対策を進めた。

また技術面では、全社のクライアントPCにログ管理ソフトを導入した。今では操作ログのすべてが保管されている。また、電子メールに関してもすべての履歴を保管し、万が一の際のトレーサビリティを確保した。高セキュリティエリアから導入を開始した指紋認証デバイスも、従業員すべてのPCに取り付けられている。

社員にできる、「これだけ」の8項目

阿多氏の執務室には、従業員が守らなければならない8項目のポスターが張られている。ポスターには、(1)社員証の常時携帯、(2)各フロアの共有エリアの管理、(3)デスクの整理、(4)書類の保管、(5)貸与外パソコンの持ち込み禁止、(6)ノートパソコンの保管、(7)パソコン画面の保護、(8)パスワードの管理――といった文字が並ぶ。7月から開始している自主監査の点検項目である。会議室など社員の目に着きやすいところに張られており、社員の意識向上に一役買っている。

「みんなにできるのはこの8項目。これだけは守れというもの。月初めの自主監査で点検される。おかげで、社内でスクリーンロックをかけていないなど、お互いが普通に指摘できるようになってきた」

また、社内業務マニュアルも見直しを行い、不審なPC操作を行えば、厳格に処罰を適用できるような就業規則も付加し、社員に周知した。

7月から開始している業務監査ではあるが、これからの課題としているところでもある。「これら対策の運用が決められた通りに行われているか、確認していかなければならない。また、もっと便利かつセキュアに行える方法があると思っている。そのためにも監査を強めていかなければ」

CISOとしての苦労

CISOとして情報セキュリティ対策の陣頭指揮をとってきた阿多氏だが、最も頭を悩ませたのは、社内に乱立していた部門サーバだった。管理外のサーバが社内に存在していれば、そこがセキュリティホールになりかねない。同氏が直接出向いて、不退転の決意で管理権限を引き剥がしたという。

自分で責任を持って管理をしたいという要望を持つ社員もいたが、「あなたの責任問題ではない。問題はあなたのグループの生産性ではなく、会社全体に関わることなんだ」と有無を言わさず強権を振るって排除した。現在では、情報システム部で管理していない部門サーバは存在していない。

また、ソフトバンクBBは電子メールのドメインも、事件を機に、グループのものから独自のものへと変更している。運用が変わったため、グループ内の出向者やグループ役員から「不便になった」とのクレームが噴出。しかし、これも2週間の猶予期間をとることで移行を完了した。この新ドメインでやり取りされるメールは、すべて保存されているだけでなく、送られるメールに住所の羅列などがないか、システムが検疫してから送信する仕組みが取られている。もしこの検疫に引っかかれば、担当者と上司が確認するフローが採用されている。

火急な対策を可能にしたのは、今までの取り組み

ソフトバンクBBでは、全体で649項目ともいわれる対策や見直しが行われた。これらは決して場当たり的に行われたものではない。あまり知られていないことだが、ソフトバンクBBが個人情報保護に関する動きを開始したのは、2003年の9月。プライバシーマークの取得を目指して、個人情報保護管理委員会を発足。情報資産の棚卸しを行っており、Pマーク取得過程の一つであるギャップ分析を済ませていた。事件が発覚したのはその後だった。

「ここまで取り組んでいたものがあったからこそ、当初予定していた予算の吟味を抜いて、2週間で一気に計画を進めることができた。また、もし3月の時点で事件の漏洩ルートが分かっていれば、その部分の対策だけに注力しすぎて、ほかの対策は十分に行えなかったかもしれない」(阿多氏)。

阿多CISOからのメッセージ

CISOは、業務の情報システム依存が高まる中で必要になってくる。CIO(最高情報責任者)は、予算とビジネスニーズに基づいて効率を重視して情報システムを構築すればいい。一方、CSOは情報システムのことを分かっていなくもできる。しかし、CISOは情報システムを効率よくセキュアにしていかないといけない。システムと人の問題が絡む。社内のルールを作る総務部・人事部との上手に連携できないといけない。また、顧客情報という意味では満足度を高めるためコンタクトセンターのシステムが重要になるだろう。