最新コラムをお届け メールマガジン登録
お問い合わせ
  • TOP
  • コラム
  • 情報セキュリティ管理者“伊藤”の「インターネットセキュリティ」講座-5

2015.06.24

 日本年金機構の情報漏えいの発表以降、複数の公的機関、団体などへのサイバー攻撃が発生しているとの報道が相次いでいます。
 情報漏えいが報じられたこれらの組織については、サイバー攻撃に対しても「しっかり対策している」印象をもたれていたのではないでしょうか。
 今回の問題は、その信頼が損なわれたことで世の中に与える影響は大きなものがあります。

 日本年金機構の情報漏えいは、「マイナンバー制度」の運用直前のタイミングでもあり、改めて情報セキュリティに関する様々な問題を浮き彫りにしました。
 日本年金機構は「攻撃を受けた被害者」でもあるのに、報道や世論は総じて批判的に扱っています。「被害者=加害者」となる点はサイバー攻撃の特徴でもあります。

年金機構の漏えい問題を考察

 年金機構の漏えい問題を考察してみましょう。

・組織の規定に反し、メールの添付ファイルを不用意にクリックした
・ファイルの暗号化/パスワード設定が不十分であった
・マルウェア(※)への感染を確認したが、ネットワークからの切り離しが不十分で2次感染を引き起こしている
・上位職や監督官庁である厚生労働省への報告が迅速に行われなかった
・ホームページの脆弱性も発見され、ホームページの閉鎖に追い込まれた

 報道から読み取れる事実は以上となります。

※マルウェア(Malware):不正な動作を目的とした悪意のあるプログラムの総称。コンピュータウイルスなど。
 「mal」という接頭語は「悪の」という意味がある。 

運用の徹底/脆弱性への対策

 では、今回の問題を防ぐためには、なにが必要だったのでしょうか?
 このことを考える際には、『運用の徹底』と『脆弱性の対策』の2つのキーワードに切り分けて捉える必要があります。

 「添付ファイルの解凍」、「ファイルの暗号化」、「ネットワークからの切り離し」、「迅速な報告」が『運用の徹底』となり、「ホームページの閉鎖」が『脆弱性の対策』となります。
 今回は、「運用」と「脆弱性」の問題がそれぞれ浮き彫りになったといえるでしょう。
 ですから、「運用の徹底」と「脆弱性の対策」の重要性が、改めて認識されることになったケースといえます。

 「ルール」はそれを作ることがゴールではありません。運用することによって「リスク」を低減させ、新たなリスクに対応できるようにアップデートしていく必要があります。
 ネットワークの「脆弱性」についても同様で、導入時に「安全」であったプログラムも、時間の経過とともにバグが発見されて「リスク要因」となります。
 発見されたバグには修正プログラムが配布されることもありますが、修正プログラムを適切に適用することは利用する側にとって負担でもあり、適用を見送っている利用者も多く聞かれます。
 多くの企業や組織はネットワークを「ベンダーに任せている」という状態で、実態を把握していないケースが多いようです。 

PDCAの実施

 2015年1月にサイバーセキュリティ基本法が施行されましたが、その運営の中心を担う内閣サイバーセキュリティセンター(NISC)では行政機関や金融、電力といった「重要インフラ業種」向けに「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第4版)(案)」を示しています。
 内容をみると、「情報セキュリティに関するPDCAの実施」を対策の基本に据えていると読み取れます。
 年金機構の漏えい問題も「運用の徹底」と「脆弱性の対策」をPDCAの視点から行い、適切な対策を講じていれば被害を小さく抑えられたかもしれません。

(参考)NISC サイバーセキュリティ戦略本部
http://www.nisc.go.jp/conference/cs/index.html#cs02

「運用の徹底」と「脆弱性の対策」チェックをお勧めします


 □ 情報セキュリティに関するルールがない
 □ 情報セキュリティに関する運用が現在の水準を満たしているか心配である
 □ 情報セキュリティに関するルールの運用が適切か確認していない
 □ マイナンバー制度に対応できるか不安がある
 □ ネットワークについてはベンダーに任せている
 □ ネットワークの脆弱性診断を受けたことがない
 □ ウェブサイトの管理は業者に任せている
 □ ウェブサイトの脆弱性診断を受けたことがない
 □ ウェブサイトを閉鎖すると相当額の売上げが減少する
 □ ウェブサイトにお問い合わせフォームなど個人情報入力ページがあるのに、サーバ証明書を導入していない
 □ メール添付ファイルの扱いに課題を持っている
 □ 情報セキュリティに関する事故の当事者になった場合、経営陣が謝罪する必要がある


 チェックの結果はいかがでしたか?

TDBによるご支援

 TDBは情報セキュリティに関するマネジメント認証である「ISO27001」認定取得のご支援を長年にわたり実施してきました。このノウハウを活かして、現在運用中の「情報セキュリティに関するルール」の運用実態チェック、不足しているルールの策定などをISOの視点でご支援いたします。

 また、ネットワーク周りの脆弱性診断についても提携先をご紹介できます。商品・サービスへのお問い合わせは、TDBカレッジの「総合お問い合わせ」をご利用ください。こちらからご連絡させていただきます。



情報セキュリティ管理者“伊藤”
帝国データバンク顧客サービス統括部ネットワークマーケティング課課長として、実務を通じて情報セキュリティに関する経験を日々重ねている。
 
 
 

<<一覧に戻る

TDBカレッジ知識度チェック

【問250】2021年3月期までに収益認識基準を早期適用した上場企業は何社程度でしょうか?

  • Recommend

    講師一覧

    クリックすると、このホームページ運営企業がTDB企業サーチで表示されます。
    TDB企業コード:986700000
    PAGE TOP