JNSAメールマガジン 第63号 2015.6.19.☆★☆

こんにちは
JNSAメールマガジン 第63号 をお届けします。

6月9日に行いましたJNSA活動報告会・総会と同日に、SECCON 2015 事業開始式を開催し、2015年度のSECCON開催スケジュールや、今年度の新たな取り組みである「サイバー甲子園」開催の説明を行ない、協賛企業、後援団体からのメッセージをいただきました。今年度はCTF初心者を対象とした「CTF for ビギナーズ」や11月7日の福島大会(会場:会津大学)で行う「サイバー甲子園」が目玉となっています。Webページもリニューアルしていますので、ぜひご覧下さい。
さて、今回のリレーコラムは、セキュリティ理解度チェックWGリーダー/マイナンバー対応情報セキュリティ検討WGリーダーであるトレンドマイクロ株式会社 萩原健太様のコラム後編です。
いま世間を賑わせている大規模情報流出事件にからめて寄稿いただきました。

【連載リレーコラム】
「日本年金機構におけるインシデントから学ぶこと」
(※本内容は平成27年6月2日現在の情報を元に作成しております)

(セキュリティ理解度チェックWGリーダー/マイナンバー対応情報セキュリティ検討WGリーダー
トレンドマイクロ株式会社 萩原 健太)

●組織における「最悪」の事態を想定し、「最良」のセキュリティ対策を検討する

「自分達の組織で年金機構の問題が起きたら大丈夫なのか。」と経営陣から説明を求められた方も多いと思われます。そもそも質問自体が適当ではないこともありますが、もしそのような問いが出るのであれば、一度、組織におけるリスクや対策を経営陣含めて一緒に議論をした方が良いと思われます。当事者意識を持って検討することで、意識や知識の向上を図ることが出来るので、行動も変化していくと考えられます。

まず検討するにあたっては、組織の現状を理解しなければなりません。自組織にはどのような資産やシステム等が存在するのか。そして、現在の業務フローはどのようになっているのかなど、整理が出来ていない場合は組織内の棚卸から始めて行くことが大切です。棚卸された結果を活用し、最悪の事態を想定しながら、自組織をどのように守って行くのか。リスクはどこに存在するのか等を検討していきましょう。自動車の運転と同様に、勝手な思い込みによる「だろう運転」は非常に危険です。一見、起きないと思われるリスクも想像し、「かもしれない運転」を行って自組織における最悪の事態を想定しながら検討を行うことが大切です。

また最悪の事態に対処するために、組織・人・物理・技術的な観点からセキュリティ対策の検討を進めましょう。検討頂くに当たって「予算が厳しいから無理」とはじめから諦めるのではなく、今回を1つの契機と捉え、検討フェーズでは予算度外視で検討し、まずは検討のテーブルに乗せてみましょう。担当者レベルで自組織でも適用できる対策を勝手に判断して、検討のテーブルに乗せないことの方が、将来的なリスクを生み出してしまうかもしれません。

上記のとおり、検討を一緒に行うことによって、経営者に当事者意識だけでなく、知識の向上も図られます。今後、サイバー攻撃がニュースや新聞で取り上げられたとしても、経営者から「当社は大丈夫か」というシンプルな質問が出てくることはなくなるのではないでしょうか。

●説明責任を果たせる環境にする

日本年金機構の学びから「被害を前提とした」対策の検討はようやく浸透していくことと思われます。万が一、自組織おいてサイバー攻撃の被害にあったとしても、説明責任を果たせるか否かが肝心です。今回の日本年金機構の問題は標的型サイバー攻撃に対する体制や対策の不備は勿論ですが、そもそも業務フローや業務を行う人材の確保など、別の問題も存在します。説明責任が果たせるように前項の業務フローなどを含む棚卸がとても重要であることが理解できます。

また情報セキュリティ対策の検討にあたっては、各種ガイドラインや対策方法など、様々な組織から公表されている文書を参照し、よりどころとして検討することが大切です。「記載されている対策は行っていたけれども守れなかった」場合と、「場当たり的なセキュリティ対策をしていた」場合では、その説得力も大きく異なります。今回の事案が該当するか否かは不明ではありますが、従前から脆弱性が起因となったインシデントも多く発生しております。ゼロデイ攻撃であれば守りようが無かったと説明は出来るかもしれませんが、「何年も前に出ていたパッチを適用していませんでした」では説明責任は果たせません。とは言っても、システムの都合上、どうしてもパッチが当てられないのであれば放置をするのではなく、その代替案を考えていくことが必要です。脆弱性は1つの例に過ぎませんが、様々なリスクを想定し対策を検討していきましょう。

●標的型サイバー攻撃もマイナンバー対応の情報セキュリティ対策の検討を同時に

実は今回「マイナンバー」に関して、熱く書くことが1つのお題でございました。しかし、急遽内容を変更し、記載をさせて頂きました。日本年金機構の事案がどの組織においてもサイバーセキュリティ対策を見直す1つの機会となっていることは間違いありません。また今年度はマイナンバーの対応も組織においては進んでいることと思われます。来年1月からマイナンバー制度の導入が開始され、企業もその対応に追われる年度なります。リスクや対策の検討の中に、このマイナンバーに関してもテーブルに乗せて、サイバー攻撃対策及びマイナンバー対応の検討が必要と考えられます。

日本ネットワークセキュリティ協会では「マイナンバー対応情報セキュリティ検討WG」を立ち上げ、組織における@体制構築が円滑に行えるよう、A情報収集を容易に出来るよう、B組織として実施すべきセキュリティ対策の検討が行いやすくなるようにWGを発足し、番号カード通知前の皆様への公表を目指して検討を進めております。さらに人的セキュリティに貢献できるよう「情報セキュリティ理解度チェック」においても「マイナンバー」に関する問題追加を行う予定になっております。標的型サイバー攻撃やマイナンバー対応のよりどころとなりますよう、日本ネットワークセキュリティ協会では深く早く検討を進め、皆様のお力になるよう努めてまいります。




#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】

★JNSA社会活動部会主催「ライトニングトーク夏祭り 2015」開催!
 参加者(聴講者、発表者)募集中です。
 ライトニングトークのテーマは、情報セキュリティに少しでも関わっていればどのようなものでも構いません。JNSA会員であればどなたでも登壇可能です。

  日時:2015年7月30日(木)16:00〜20:00
  会場:スタンダード会議室 虎ノ門スクエア2階

 お申込みはJNSA事務局までお願いします。

★JNSA電子署名WG/スキルアップTFでは勉強会を開催します。

 「電子透かし 勉強会」
  日時: 6月25日(木) 16:30〜18:00
  場所: 西新橋 JNSA1階 会議室

 WGメンバー以外の方もご参加いただけます。
 会場定員に達し次第受付終了となりますので、ご興味ある方はお早めに事務局までご連絡ください。

★「組織で働く人間が引き起こす不正・事故対応WG」メンバー共著の書籍発売中です!

 〜組織で働く人間が引き起こす不正・事故をどう防ぐか〜
  『内部不正対策 14の論点』
 http://www.jnsa.org/result/2015/naibuhuseitaisaku.html 

★6月9日に開催しました「JNSA 2014年度活動報告会」は盛況のうちに終了しました。多くの方々のご参加ありがとうございました。
 当日の講演資料を公開しておりますのでぜひご覧ください。
 http://www.jnsa.org/seminar/2015/0609/

【事務局からの連絡、お知らせ】

★JNSA設立15周年記念論文募集のお知らせ
 設立15周年イベントの一環としてセキュリティに関する論文を募集します。募集要項は以下URLよりご確認ください。
 http://www.jnsa.org/seminar/2015/nssf15/paper.html

★CTF初心者向けワークショップ「CTF for ビギナーズ 2015 長野」参加申込受付中!
 当日スケジュール・お申込みは↓こちら↓から
 https://ctf4b.doorkeeper.jp/events/26703


★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第63号 
発信日:2015年6月19日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.