米ヤフーの失敗に学ぶ情報流出防止--4つの企業向けセキュリティ対策

　米Yahooは、ユーザーのデータを保護するという観点において、近年で最悪クラスの企業だと公式に決定づけてしまった。同社は米国時間12月14日のプレスリリースで、2013年にユーザーアカウント10億件以上からデータが盗まれたことを明らかにした。

　このデータ流出は、9月に発表されたのとは別件で、こちらは、アカウント5億件が被害に遭ったと発表されている。つまり合計すると、この2件で15億人のYahooユーザーが危険にさらされたことになる。

　プレスリリースによると、直近のハッキングで盗まれたとみられるデータは、氏名、メールアドレス、電話番号、生年月日、ハッシュ化済みパスワード、秘密の質問とその答えだ。ただしYahooは、銀行のカード情報は漏えいしていないとした。

　Yahooはフォレンジック専門家の協力を得てユーザーアカウントのセキュリティ確保に取り組んでいるとしたが、今回のデータ流出の話題はYahooにとって命取りになりかねない。15億件のアカウントが何年間も危険な状態になっていたという事実は、問題というレベルで済まず、Yahooの自社ユーザー保護に対する取り組みが不十分だった証拠といえる。

　皆さんが企業のIT責任者ならば、Yahoo並みのセキュリティに関する失態を勤務先に犯させてはならない。Yahooの事件から学べる4つの教訓を紹介しよう。