- 2015年2月9日
- セキュリティについて
Anthemの顧客データが暗号化されていなかった件
どうも、コンニチハ、AKIhiroです。
米大手医療保険会社のAnthemのデータベースがハッキング被害にあったようだ。
被害内容としては、約8000万人もの顧客および従業員の個人情報を盗み出されたそうだ。
ここまでなら、普通の(表現が正しいかは別として)セキュリティニュースなのだが、その後の事実に驚いたので紹介する
ハッキング被害のAnthem、顧客データを暗号化していなかったことが明らかに
理にかなったセキュリティポリシーに従う企業は通常、自社のサーバに保存された顧客データの一部を暗号化する。データを暗号化することで、ハッカーが盗み出した情報を閲覧したり、売却したりすることが、不可能ではないにせよ、より困難になる。しかし、この点に関して、Anthemはそうしたガイドラインに従っていなかった。それはなぜなのだろうか。
米連邦法「医療保険の相互運用性と説明責任に関する法律(HIPAA)」の下で、健康保険会社は自社のサーバに保存されたデータの暗号化を義務づけられていない。HIPAAの規定では、暗号化はリスクを軽減する適切な手段だと保険会社が判断した場合に暗号化を用いることを推奨している。しかし、具体的な要件がないので、データ保護手段の決定は事実上、それぞれの会社に委ねられている。
(引用元:CNET Japan)
法律で定められてないから暗号化していないだと!?詳しくは、暗号化はリスクを軽減する適切な手段だと推奨されているが、具体的な要件がないから、各社に任せますよ、というような丸投げ状態だ。
個人情報をなんだと思っているんだ、といいたい。これでは、盗まれても「法律で義務化されていないので、違法じゃない」といっているようなもんだ。そんな企業が8000万もの個人情報を管理しているから恐ろしい。
挙句の果てに、広報担当者は、
「個人データが保存されている間は暗号化を行わないという。これは米保険業界では一般的な慣習だ」
「ハッカーは、当社のセキュリティプロトコルを迂回した後で、Anthemのデータベースにアクセスした。管理者の認証情報が用をなさなくなったので、暗号化を施していても攻撃を阻止することはできなかっただろう」
「暗号化によって、Anthemの従業員が保健医療の傾向を追跡したり、ヘルスケアプロバイダーや州政府とデータを共有したりすることが難しくなる」
(引用元:CNET Japan)
などと述べている通り、これは、他の企業も行っていることだ!暗号化しても被害にあったので、体制の不備が問題ではない!暗号化すると他サービスと連携しづらくなるので仕方なかった!などという始末。。
これでは、ハッカーの思うつぼだ。セキュリティ被害を少なくする為にも、リスクを軽減する処置を行うことにもまして意識を変えていかなくてはならない、と感じた。