情報セキュリティ管理者“伊藤”の「インターネットセキュリティ」講座-5
2015.06.24
情報漏えいが報じられたこれらの組織については、サイバー攻撃に対しても「しっかり対策している」印象をもたれていたのではないでしょうか。
今回の問題は、その信頼が損なわれたことで世の中に与える影響は大きなものがあります。
日本年金機構の情報漏えいは、「マイナンバー制度」の運用直前のタイミングでもあり、改めて情報セキュリティに関する様々な問題を浮き彫りにしました。
日本年金機構は「攻撃を受けた被害者」でもあるのに、報道や世論は総じて批判的に扱っています。「被害者=加害者」となる点はサイバー攻撃の特徴でもあります。
年金機構の漏えい問題を考察
・組織の規定に反し、メールの添付ファイルを不用意にクリックした
・ファイルの暗号化/パスワード設定が不十分であった
・マルウェア(※)への感染を確認したが、ネットワークからの切り離しが不十分で2次感染を引き起こしている
・上位職や監督官庁である厚生労働省への報告が迅速に行われなかった
・ホームページの脆弱性も発見され、ホームページの閉鎖に追い込まれた
報道から読み取れる事実は以上となります。
※マルウェア(Malware):不正な動作を目的とした悪意のあるプログラムの総称。コンピュータウイルスなど。
「mal」という接頭語は「悪の」という意味がある。
運用の徹底/脆弱性への対策
このことを考える際には、『運用の徹底』と『脆弱性の対策』の2つのキーワードに切り分けて捉える必要があります。
「添付ファイルの解凍」、「ファイルの暗号化」、「ネットワークからの切り離し」、「迅速な報告」が『運用の徹底』となり、「ホームページの閉鎖」が『脆弱性の対策』となります。
今回は、「運用」と「脆弱性」の問題がそれぞれ浮き彫りになったといえるでしょう。
ですから、「運用の徹底」と「脆弱性の対策」の重要性が、改めて認識されることになったケースといえます。
「ルール」はそれを作ることがゴールではありません。運用することによって「リスク」を低減させ、新たなリスクに対応できるようにアップデートしていく必要があります。
ネットワークの「脆弱性」についても同様で、導入時に「安全」であったプログラムも、時間の経過とともにバグが発見されて「リスク要因」となります。
発見されたバグには修正プログラムが配布されることもありますが、修正プログラムを適切に適用することは利用する側にとって負担でもあり、適用を見送っている利用者も多く聞かれます。
多くの企業や組織はネットワークを「ベンダーに任せている」という状態で、実態を把握していないケースが多いようです。
PDCAの実施
内容をみると、「情報セキュリティに関するPDCAの実施」を対策の基本に据えていると読み取れます。
年金機構の漏えい問題も「運用の徹底」と「脆弱性の対策」をPDCAの視点から行い、適切な対策を講じていれば被害を小さく抑えられたかもしれません。
(参考)NISC サイバーセキュリティ戦略本部
http://www.nisc.go.jp/conference/cs/index.html#cs02
「運用の徹底」と「脆弱性の対策」チェックをお勧めします
□ 情報セキュリティに関するルールがない
□ 情報セキュリティに関する運用が現在の水準を満たしているか心配である
□ 情報セキュリティに関するルールの運用が適切か確認していない
□ マイナンバー制度に対応できるか不安がある
□ ネットワークについてはベンダーに任せている
□ ネットワークの脆弱性診断を受けたことがない
□ ウェブサイトの管理は業者に任せている
□ ウェブサイトの脆弱性診断を受けたことがない
□ ウェブサイトを閉鎖すると相当額の売上げが減少する
□ ウェブサイトにお問い合わせフォームなど個人情報入力ページがあるのに、サーバ証明書を導入していない
□ メール添付ファイルの扱いに課題を持っている
□ 情報セキュリティに関する事故の当事者になった場合、経営陣が謝罪する必要がある
チェックの結果はいかがでしたか?
TDBによるご支援
また、ネットワーク周りの脆弱性診断についても提携先をご紹介できます。商品・サービスへのお問い合わせは、TDBカレッジの「総合お問い合わせ」をご利用ください。こちらからご連絡させていただきます。
情報セキュリティ管理者“伊藤”
帝国データバンクプロダクトデザイン部ネットソリューション課課長として、実務を通じて情報セキュリティに関する経験を日々重ねている。
