JNSAメールマガジン 第62号 2015.6.5.☆★☆

こんにちは
JNSAメールマガジン 第62号 をお届けします。

JNSA組織で働く人間が引き起こす不正・事故対応WGメンバーの共同執筆で、このたび書籍を発刊しました。
購入には電子書籍と印刷版と両方お選びいただけます。
6月9日(火)に行うJNSA活動報告会の会場では印刷書籍の割引販売(30%割引)を行いますので、購入をご検討されている方は、ぜひご活用下さい。

さて、今回のリレーコラムは、いま世間を賑わせている大規模情報流出事件にからめて、セキュリティ理解度チェックWGリーダー/マイナンバー対応情報セキュリティ検討WGリーダーであるトレンドマイクロ株式会社 萩原健太様より寄稿いただきました。萩原様のコラムは2回に渡って連載します。

【連載リレーコラム】
「日本年金機構におけるインシデントから学ぶこと」
(※本内容は平成27年6月2日現在の情報を元に作成しております)

(セキュリティ理解度チェックWGリーダー/マイナンバー対応情報セキュリティ検討WGリーダー
トレンドマイクロ株式会社 萩原 健太)

日本・世界を代表する野球選手であるイチロー選手は次のような事を述べています。
「準備というのは、言い訳の材料となり得るものを排除していく、そのために考え得るすべてのことをこなしていく。」

6月1日「不正アクセスによって年金番号が125万件流出」というニュースは日本列島に衝撃を走らせました。流出した情報の内訳として、氏名と年金番号(二情報)は約3万1000件、氏名・年金番号・生年月日(三情報)は約116万7000件、氏名・年金番号・生年月日・住所(四情報)は5万2000件、の合計125万件としています。その原因はウイルス付きのメールを開封したことにより感染し、内部での感染が拡大、不正アクセスによって情報が窃取したとされています。現在も様々な報道がなされており、今後より一層原因究明が進むと思われます。

現段階では時期尚早かもしれませんが、今回のインシデントは準備を怠っていたからこそ発生し、被害が大きくなったと考えられます。結果論だと言われればそれまでかもしれませんが、私達は今回のインシデントから学び、対策を考え、実行していかなければなりません。

●自組織が標的型サイバー攻撃を受ける可能性があるということを認識していたか。

準備を行うにもまず気持ち・心構えがなければ、実の入った行動を取ることが出来ません。

「当社は標的型サイバー攻撃を受けるほどの組織ではない」「自組織は標的型サイバー攻撃を受けるほど価値のある情報や資産などはない」と、皆さんの周りでこのような発言をしている人はいないでしょうか。今回の件が合致するとはかぎりませんが、今回のインシデントレスポンスやインシデントが発生する前の業務状況などからも認識の甘さが伺い知れます。

インシデントが自組織に留まればまだ良いですが、往々にして自組織で完結するわけではなく、盗まれた情報がお客様や取引先などの情報だとしたら、影響範囲は一気に大きくなることになります。標的型攻撃に限らず、自組織においてサイバー攻撃が発生することを認識し、被害が発生しても説明責任の果たせる体制を整えておくことが重要です。

●ガイドラインなどに基づく、または倣った対策をしていたか。

体制を整えることの重要性は理解できたとしても、自分達で一から考えてベストなセキュリティ対策を実施することは全ての組織で出来るわけではありません。そこで頼りになるのが政府や第3者機関等が出しているガイドラインです。ましてや日本年金機構は厚生労働省配下の組織ですので、政府統一基準にのっとった対策をする必要があります。例えば政府統一基準には次のような記述があります。

「内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策)からなる、多重防御の情報セキュリティ対策体系によって、標的型攻撃に備える必要がある。」

今回、日本年金機構がインシデントの発生に気づいたのはNISC(内閣官房情報セキュリティセンター)からの一報によると報道されており、1台の感染から10日後に複数台の感染、不正アクセスが確認されています。統一基準に沿った対策が適切に講じられていれば、彼ら自身で早期に検知し、被害拡大を最小限に抑え、外部への情報漏洩がなかった(またより少なく抑えることが出来た)可能性もあるのではないでしょうか。

尚、政府統一基準に留まらず、IPAの『「高度標的型攻撃」対策に向けたシステム設計ガイド』や自治体向けの『地方公共団体における情報セキュリティポリシーガイドライン』にも「内部対策」の言及があります。重要なシステムであった社会保険オンラインシステムが、その重要性を認識せずに、政府統一基準などのガイドラインを参照していなかったとすれば、情報セキュリティ対策の甘さがあると言われても仕方がありません。

●脅威を理解していたのか。

日進月歩で技術や脅威が変化する時代において、情報収集は欠かすことが出来ません。情報セキュリティに従事する現場責任者や現場は高い意識を持って情報収集を行っていると思われますが、経営層や情報セキュリティに携わらない現場レベルまで最低限の脅威を理解していたのでしょうか。無論、組織が大きくなればなるほどその徹底が難しいということは理解が出来ます。ただ出来る限り言い訳となり得るものは排除しなければなりません。

特に顕著だったのが「不審なメールは開くな」という注意喚起です。確かに以前は、「英語のメールは開くな」「不審メールは開くな」と言ったような注意喚起が通用したかもしれませんが、現在は通用しなくなってきています。翻訳技術や攻撃者自身のレベルも向上し、疑うことのできない標的型メールが多く見受けられるようになりました。昨今の標的型メールの特徴を理解し、日々の訓練で意識を高めると共に、標的型メールは開きウイルス感染や攻撃を受けることを前提にした対策を検討することが急がれます。

またこのような理解は、経営層がより高くアンテナを立て、率先して理解、喚起し、対策につなげていく必要があります。以前は報道において大々的にサイバーセキュリティが取り上げられることは少なかったですが、IoT(Internet of Things)社会に突き進む世界において、「サイバーセキュリティは難しいから理解出来ない」と言い訳が通用する時代ではありません。インシデントが発生した際に説明するのは自分達であり、経営にも直結する重大な問題であるということを理解しなければなりません。セキュリティ対策をないがしろにすると後に何倍もの出費や被害が発生するということを理解すべきです。

次回へ続く。




#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】

★<開催間近!>「JNSA 2014年度活動報告会」の申込受付中です。
  http://www.jnsa.org/seminar/2015/0609/
  日時:2015年6月9日(火)9:30〜15:30
  場所:秋葉原UDXギャラリーネクスト

 JNSAの部会・WGの活動報告と今後の活動計画などの発表を行います。
 多くの方々のご参加をお待ちしております。

★セキュリティ市場調査WGでは「2014年度情報セキュリティ市場調査報告書」を作成・公開しました。ぜひご活用ください。
 http://www.jnsa.org/result/2015/surv_mrk/index.html

★新規発足WGである「マイナンバー対応情報セキュリティ検討WG」ではメンバーを募集しています。本WGでは、3つのチームに分かれて活動予定です。活動にご興味ある方はJNSA事務局までご連絡ください。  
 JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
 部会・WGへの参加申し込みは事務局までご連絡ください。

【事務局からの連絡、お知らせ】

★2015年度JNSA定時総会のお知らせ
 6月9日(火)に秋葉原UDXギャラリーネクストにてJNSA総会を開催します。ご出欠のご返信を事務局までお願いいたします。
同会場でJNSA活動報告会も同日開催です。

★SECCON2015事業開始式をJNSA活動報告会と同会場で10時30分より行います。今年度のSECCON2015の事業内容についてご興味ある方はぜひ御参加下さい。

★CTF初心者向けワークショップ「CTF for ビギナーズ 2015 札幌」参加申込受付中!
 当日スケジュール・お申込みは↓こちら↓から
 https://ctf4b.doorkeeper.jp/events/25724

★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第62号 
発信日:2015年6月5日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.