公開資料・報告書をお探しの方

【第１位】 9月25日　ベネッセ個人情報漏えい事故の調査報告書を公表
　　　〜情報セキュリティのガバナンスやマネジメントは機能していたのか〜

9月25日、ベネッセホールディングスは、個人情報漏えい事故調査委員会の調査報告書を公表した。

個人情報の漏洩が発覚したのは6月27日、その後危機管理本部を立ち上げ、緊急対策や原因究明、情報拡散の防止などに取り組み、警察の捜査への協力などを経て、7月17日に委託先社員の逮捕に至る。その後、情報漏洩に関する事実や対策の調査及び再発防止策の検討を目的に、社外委員を中心に調査委員会を構成し取り組んだ結果が公表されたのが、「個人情報漏えい事故調査委員会による調査報告について」である。

この報告書によれば、個別の対策については行われていたようだが、技術的な対策の運用面と維持更新に脆弱性があったことが指摘されている。さらに、アクセス制御については組織的な方針にも問題があったなどが説明されている。

この報告書を、情報セキュリティのガバナンスとマネジメントの視点から、国際規格ISO/IEC27014および27001等をフレームワークとして整理してみると、大きな教訓が浮かび上がる。

ISO/IEC 27014 Information Security Governance の元となった「情報セキュリティガバナンス導入ガイダンス」では、Direct、Monitor、Evaluate、Report、Overseeが経営陣の活動として定義されているが、これらの活動については、調査報告書で取り上げられていない。特に重要と思われるDirectについてはほとんど欠如していたのではないかと窺われる。

また、ISO/IEC 27001の情報セキュリティマネジメントシステムの観点でみると、個別のセキュリティ管理策の有効性への言及はあるが、マネジメントシステム自体が有効に機能していたのかという問いには答えられていない。監査の重要性が強調されているが、監査対象が管理策レベルにとどまっているのはいささか視野が狭いのではないかと思わせる。情報セキュリティ監査制度に則り、マネジメント基準も含んだ効果的な監査の計画と実施が求められる。

さらには個々のセキュリティ管理策がリスクアセスメントに基づいて設計されたものとは言い難い側面も指摘されており、ビジネス環境全体のセキュリティを意識して設計しなおすSecure by (re-)Designの重要性も指摘しておかなければならない。

再発防止策に今後の意欲的な取り組みが示されているので期待はできそうであるが、ガバナンスの欠如がセキュリティマネジメントのマンネリズムを生み、管理策の維持更新がおろそかになっていくということを肝に銘じてもらいたい。

この事件は、さらに、委託先の監督や個人情報売買の制約などについて個人情報保護ガイドラインの改訂をももたらし、内部不正への取り組みを見直すきっかけともなり、また、ベネッセ自身の赤字計上やビジネスモデルの変更、希望退職の募集などにまで及んだ。

これを社会的教訓として、情報セキュリティのガバナンスとマネジメントの視点からの取り組みが広がっていくことを期待したい。

---

【第２位】　11月6日　サイバーセキュリティ基本法が成立
　　　〜2015年から我が国のサイバーセキュリティ新体制が始動〜

11月6日、第187回国会においてサイバーセキュリティ基本法が成立した。国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的とし、我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、サイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めている。また、国のサイバーセキュリティ戦略を策定しその施策を総合的かつ効果的に実施するための司令塔として「サイバーセキュリティ戦略本部」（本部長：内閣官房長官）を、法的根拠をもった組織として設置することとしている。

これにより、「サイバーセキュリティ戦略本部」が既存の「高度情報通信ネットワーク社会推進戦略本部（IT総合戦略本部）」および「国家安全保障会議（NSC）」とサイバーセキュリティに関する重要事項について緊密に連携し対処する体制が整備されることになる。

また、「サイバーセキュリティ戦略本部」に各府省等に対する勧告権と措置報告聴取の権限を付与するとともに、各府省等には本部への資料等の提供を義務付けている。

サイバーセキュリティ基本法の成立を受けて、11月25日に持ち回り開催された情報セキュリティ政策会議第41回会合にて、「我が国のサイバーセキュリティ推進体制の機能強化に関する取組方針」が決定されている。この中では、現状の「内閣官房情報セキュリティセンター（NISC）」に法的な権限を持たせ「内閣サイバーセキュリティセンター」に改称するとともに、GSOC機能の強化、総合的分析機能の強化、国内外の情報集約機能の強化、国際連携の強化、人材の育成及び登用について、必要な措置の検討を行い可及的速やかに結論を得ることとされている。

12月16日の閣議で「サイバーセキュリティ戦略本部」を来年1月9日に設置することが決まったとのことであり、この基本法を新たな第1歩として、サイバー空間における脅威の増大に対し、国が主体となって、民間の活力を活かしながら、日本におけるサイバーセキュリティの更なる向上に向けて、新体制のもと着実に進んでいってほしい。

---

【第３位】　4月7日　Heartbleedなど脆弱性が次々と
　　　〜（歓迎されない）脆弱性対策フィーバー！〜

2014年4月7日に、OpenSSLというオープンソースの暗号ソフトウェアライブラリ上で発見された脆弱性（Heartbleed）が公表された。続いてJava のウェブアプリケーションを作成するためのソフトウェアフレームワークであるApache Struts2の脆弱性や、攻撃者の管理下にあるWebサイトをInternetExplorer（IE6〜IE9）でアクセスすると、アクセスしたPC上でリモートからコードを実行することができるようになる脆弱性など、日常利用されている環境やサービスに大きく影響を及ぼす脆弱性が多発した。

InternetExplorerについては、これまで脆弱性問題に関して注目度の低かったメディアが、今回は海外の複数の政府機関が利用規制を発表したことやWindowsXPの保守終了で脆弱性対応問題が注目されたこともあり、大きく取り上げて注目された。その影響もあり、各社システム関係者は、クライアント側、サーバ側の両方への対応で、情報収集や対策に時間が大きくとられたところが多かった。

更に2014年9月には、攻撃者が外部から遠隔でシェルコマンドの実行が可能なUnixのbashシェルの脆弱性（Shellshock）、10月には、暗号化通信の一部を解読される可能性があるSSL V3.0の脆弱性（Poodle）と続いている。

今年特徴的であったのは、以下の３点であった。
　　１．連続して大きな脆弱性問題が続いたこと。
　　２．サーバ関係のソフトが多く含まれ、影響が多くのシステムに及んだこと。
　　３．脆弱性に呼びやすいネーミングが行われ、わかりにくかった脆弱性の情報について交換しやすくなったこと。

いろいろなソフトウェアが使われている現状では、脆弱性の問題はどのシステムにおいても起きる可能性があるという意識が必要である。重要な情報を守るためには、脆弱性の問題が１つおきても情報漏えいなどに直結しない多重防衛の観点を積極的に取り入れたシステムにすることが望ましい。

---

【第４位】　8月1日　オンラインバンキング不正送金の被害急増
　　　〜法人インターネットバンキングの不正対策、しっかりできていますか〜

8月1日 IPAは「法人向けインターネットバンキングの不正送金対策、しっかりできていますか？」と呼びかけを行った。

法人口座の不正送金被害額が急増している。被害件数に比べて被害金額が急増している印象を与えるのは、法人口座の被害額（1件当たり）が個人口座に比べて高額なことも要因と考えられ、法人の命とりにもなりかねないリスクである。

オンラインバンキングは既に金融システムの重要なインフラとして定着しており、銀行も利用する法人も、業務効率化の恩恵を捨てる訳にはいかない。全国銀行協会は7月17日に被害補償に関する考え方とともに「銀行および法人のお客さまに求められるセキュリティ対策事例」を紹介している。

この対策事例は「参考にする」のではなく、「常に実行する」ことを前提とし、銀行側は当然として、利用者側の法人も自社の環境と運用を見直すべきである。やや過言かもしれないが、不正送金対策を施さずにオンラインバンキングを利用する事は、通帳と印鑑を他人に預けるに等しい行為である。

信頼できる社員に通帳を預けるように、オンラインバンキングを行うパソコンを限定し、そのパソコンは経営層も意識して各法人の金庫番が対策の徹底に責任を持つ必要がある。また愚直に始業前点検を行うことも推奨したい。まさに「継続は力なり」である。

---

【第５位】11月13日　日本サイバー犯罪対策センター（JC3）設立
　　　〜情報共有を迅速に。　明日ではなく　今日言う〜

11月13日、一般社団法人日本サイバー犯罪対策センター（JC3）の開所式が行われた。日本版NCFTAとも言われるこの組織は、サイバー犯罪に関する情報を産学官の垣根を超えて共有し、対策や予防策を導き出すための取組みである。

昨今のサイバー犯罪において、犯行を企てる側では効果的な情報共有が行われている。特定の情報をどのような手段を使ってでも欲しいと思う者はいつの世にも存在し、そのためには対価をいとわない。研究者による脆弱性の情報は非常に早く共有され、攻撃ツールは間を置かずに作られる。ツールはすぐにブラックマーケットで売りに出され、悪意ある購入者はそれらを効果的に使い違法な手段で情報を窃取し暴利を得る。

この様に連携された攻撃に対し、ユーザ、セキュリティベンダ、司法機関がそれぞれ個別に対応を行う状況であり、対応が後手に回る、或いは大きなコストが掛かってしまうことがままあるのが現状だ。

このような状況を打破するために、JC3では被害の情報がもたらされると、セキュリティ企業や研究者が即座に解析・分析し対策手法をまとめ、警告を発したり対策ツールの作成を行ったりする枠組みを提供する。また、それら情報を蓄積し過去の攻撃との関連性や他組織での分析結果との突合を行いより精度の高い物とする。さらにはその情報を元に司法機関による取締りや各国警察との連携に利用するという。

米国では一定の成果が見られると評価されている取組みだが、日本では課題も多い。米国ではエンドユーザ企業にも相当数のIT技術者・セキュリティ技術者が存在する。組織の枠を超える情報共有の歴史も長い。日本ではそれら人材の不足や経験の少なさ、技術的な理解の低さにより情報提供をためらう場合も多いと聞く。セキュリティ企業の数も少なく、大学でセキュリティを専門に学ぶ学生もごくわずかしかいない。

しかし、ようやく一歩を踏み出したこの取組み、課題を一つ一つ克服し大事に育てて、大きな成果に結びつくことを期待したい。

---

【第６位】4月4日　警察庁、ビル管理システムの探索行為に注意を喚起
　　　〜制御系システムのセキュリティの重要性、高まる〜

4月4日、警察庁は、インターネット上でビル管理システムを探索する行為が増加しているとの注意喚起を行った。警察庁サイバーフォースセンターの定点観測システムが検知したもので、ビル管理システムの通信プロトコル「BACnet」が用いるポート47808/UDPに対するアクセスが確認された。ツールを用いた探索が複数のマシンから行われていることも判明したため、5月8日には第二報も出された。

6月25日には、産業制御システムを標的とするマルウェア「Havex」の感染が報道された。ドイツ、スイス、ベルギーの産業制御システムベンダーのWebサイトが改ざんされ、正規のソフトウェアがトロイの木馬に置き換えられたことで複数の企業が被害にあったという。他にも、主に米国や欧州などの電力会社や石油パイプライン運営企業、送配電企業、エネルギー業界向けの産業機器メーカーに対するハッカー集団の暗躍などが報道されている。

制御システム機器の脆弱性情報も公表されるようになってきた。たとえば、業界大手企業の横河電機は、自社の統合生産制御システムやプラント情報管理システムの脆弱性などの情報をwebで積極的に公開している。

このような状況をうけ、内閣官房情報セキュリティセンター(NISC)は、重要インフラ全体のIT障害対応能力の維持・向上を目的とする「分野横断的演習」を12月8日に実施した。9回目となる今回は、情報通信､金融､航空､鉄道､電力､ガス､政府･行政サービス､医療､水道､物流､化学､クレジット､石油の重要インフラ13分野から、94組織348名が参加するという大規模な演習となった。

重要インフラ等の制御系システムのセキュリティの重要性が高まり、官民あげての対策が進むのは望ましいことである。しかしそれは、現実にセキュリティ上の危機が迫っていることの裏返しの事実でもある。制御系システムのセキュリティ対策は、今や「待ったなし」の最優先課題となっているのである。

---

【第７位】10月1日　マイナンバー制度準備進む
　　　〜コールセンターが開設、今後の普及に期待したい〜

全国民に一意的に個人番号を付番し、所得、納税及び社会保障に関する情報を一元的に管理する共通番号制度（通称：マイナンバー制度）が、2016年1月よりスタートする。年明けの来年2015年10月には国民への個人番号通知が始まる。

マイナンバー制度は今後のＩＴ社会のインフラで、国民として行政サービスの向上に期待する所が大きい。本制度に関しては各種メリットがある反面、内部犯罪あるいはサイバー攻撃による個人情報の流失、他人によるなりすましの可能性、そして費用対効果等各種の懸念が指摘されており、その一つ一つを払拭していく必要がある。

内部犯罪あるいはサイバー攻撃に対する対策は現在各情報システムのオーナが対策を検討・開発中と思うが、所詮情報システムは完全ではあり得ず脆弱性を内包している。情報セキュリティでは事故前提と叫ばれて大部年月が経つが、マイナンバーのシステムに関してもこの考え方はあてはまる。攻撃された場合にいかに早く検知するか、つまりいかにキルチェーン（発見・同定・追跡、照準、交戦、査定）を断ち切るか、いかに早くリカバリーするかがより重要ではないかと考える。また運用におけるセキュリティも重要で、所謂ISMSの範囲に限らず、業務そのものの運用面におけるセキュリティ管理が必要と言えるであろう。更になりすましの問題も諸外国での事例を含め多く指摘されている所であり、これに対しては制度そのものとしての危機管理の仕組みが必要ではないかと思われる。

最後に残るのが少なくとも数千億円の費用が掛かると言われている、行政側での費用対効果である。バランスのとれた開発投資が必要である点は議論を待たないであろう。

ただ一国民として見たとき、この制度に関して全く情報を持っていない事に唖然とする。来年の10月になったらある日突然自宅にカードが送って来られるのだろうか。その意味で行政は国民に対する周知徹底を、再度褌を締めてかからなければならない。またこの制度は国民に選択の余地は無い訳で、マスメディアもこの制度のメリット／デメリット、特に個人としての情報・生活の防御方法に関してキャンペーンを張らなければならないのではないだろうか。

---

【第８位】9月3日　POSマルウェアによる5600万件のカード情報流出が発覚
　　　〜カード情報搾取の新たな攻撃、米国で広がる〜

今年、米国では大手小売業者からのクレジットカード／デビッドカードの情報流出が相次いだ。昨年12月に、ディスカウントストア大手Target社から4,000万件という大規模なカード情報流出が発覚したのを皮切りに、同様の情報流出が多く報告されていた。そして9月3日には、ホームセンター大手のHome Depot社から、5,600万件のカード情報が流出したと発表があった。

これらは、POS端末に仕込まれたマルウェア(POSマルウェア)によるものだ。カード決済に関する情報は暗号化されて保存や送受信がなされるが、POSマルウェアは、暗号化されない状態で瞬間的にメモリ上に保持された情報を盗みとるという。

米国では2014年にPOSマルウェアの検出が急増した。国内ではPOSマルウェアによる被害の報告はまだないが、POSマルウェア自体は検出されており注意が必要である。POSマルウェアによる情報流出は、利用者の立場からは利用した店舗からカード情報が流出する危険が増すということだ。対策は銀行口座の履歴やクレジットカード明細をしっかりと確認することだろう。

一方で、「POS端末」がサイバー攻撃の具体的な標的となってきたことを別の観点から見ると、組込機器がサイバー犯罪者の新たなターゲットとして現実になってきたと捉えることもできる。IoT(Internet of Things)といわれるように、身の回りのあらゆる機器がネットワークに接続される世界へ着実に向っている。PC、スマートフォンの先の端末機器のセキュリティについて、そろそろ真剣に考えていかなければならない。

---

【第９位】　9月17日　被害が止まらないパスワードリスト攻撃
　　　〜パスワード　使い回すと　やられちゃう　ひねり回すと　忘れちゃう〜

9月17日、IPA（独立行政法人情報処理推進機構）およびJPCERT/CC（一般社団法人 JPCERTコーディネーションセンター）は、パスワードリスト攻撃による不正ログイン被害が後を絶たないことから、複数サービスにおいて同一パスワードを使い回さないようインターネットユーザに対して呼びかけた。パスワードリスト攻撃に対するIPA/JPCERTの警告は2013年8月1日に続いて2回目であり、1年以上経過しても沈静化しないパスワードリスト攻撃の脅威が浮き彫りになった。海外有名人のプライベートな写真や動画が流出するスキャンダルが8月以降続いているが、こちらもiCloud（Apple社のクラウドサービス）に対するパスワードリスト攻撃と推定されている。

パスワードリスト攻撃は、過去に発生した情報漏洩やサイバー攻撃等により不正に入手したユーザIDとパスワードを大量にストックしたうえで、他のインターネットサービスに対して繰り返しログインを試みるという「力技」の攻撃手法である。同一IDとパスワードの使い回しをやめることが最も効果的な防御策となるが、インターネットサービスの普及拡大に伴って個人が管理すべきIDとパスワードの数が膨れ上がり、別々のパスワードを登録すると覚えきれないという根本的な問題がある。

大手SNSサービス事業者によれば、多発するアカウント乗っ取りを鎮静化すべく再三パスワード変更を呼び掛けるも、8割以上のユーザは自主的にパスワードを変更せず、強制的に変更を促しても数週間後に元のパスワードに戻すユーザが続出したという。

ID・パスワードに加えて4ケタのPINコードを導入した別の事業者では、ユーザの多くが「携帯番号の下4桁」または「誕生日」をPINコードに登録するため、期待された抑止効果が得られていないと語っている。

このような状況において「同一パスワードの使い回しをやめて」と呼びかけるだけでは問題解決に至らない。鎮静化しないパスワードリスト攻撃は、ユーザIDとパスワードの組合せに依存するユーザ認証方式の抜本的な見直しを促している。ワンタイムパスワードや生体認証、デジタル証明書の利活用といった「ユーザ認証方式の進化と普及」こそが、問題解決に向けた重要なカギと考えられる。

---

【第10位】9月18日　DDoS攻撃業者を使ったオンラインゲームの業務妨害で高校生を書類送検
　　　〜はびこる悪徳業者、あなたのパソコンも荷担していませんか？〜

9月18日、警視庁サイバー犯罪対策課は、オンラインゲームのサーバに対してDDoS攻撃を行ったとして、高校1年の男子生徒を電子計算機損壊等業務妨害の疑いで書類送検したと発表した。同課によると、DDoS攻撃を行った攻撃者を摘発するのは全国初という。

報道されたところによると、この男子高校生は、ゲーム会社「ゲームオン」が運営するオンライン戦争ゲームの運営に不満を持ち、3月19日から20日にかけ、このゲームのサーバに33回にわたって大量のデータを送りつけるDDoS攻撃を行い、同社の業務を妨害した。また、他に少なくとも2社のゲームサイトを攻撃していたことも認めている。さらに驚くべきことに、この男子高校生は、DDoS攻撃を月額8米ドル（約900円）で請け負う海外のサイトを利用していたという。

この事件は、ゲーム会社の運営に不満を持った男子高校生がサーバにDDoS攻撃を仕掛けるという行動に出たことがまず問題であることは言うまでもない。しかし、それに加え、実際にオンラインゲームの運営に影響を与える能力を持つ「DDoS攻撃請負サービス」が、高校生の手の届くところに、かつ手の届く料金で存在していることが明らかになったことにも注目しなければならない。表面化した今回の件以外にも、同じような攻撃が横行していることを想起させる事案である。

今回のような事件を防ぐには、実社会の善悪を教えるのと同様、サイバー空間における「してはいけないこと」の教育をきちんと行うこと、また攻撃請負業者等の好ましくないビジネスの実態を継続的に把握していくことが重要である。技術的な観点からは、自分のサーバやパソコンがDDoS攻撃に利用されることがないよう、日頃から注意しておく必要がある。DDoS攻撃の手法としては、脆弱性を悪用して多数のサーバやパソコンを乗っ取り、攻撃対象に一斉にデータを送信させる方法や、NTPやDNSのプロトコル上の性質を悪用し、大量のデータを攻撃対象に送りつける方法などが用いられる。いずれの場合も、OSやアプリケーションの最新化、サーバの適切な設定などの基本動作を徹底させることで、「DDoS攻撃請負サービス」に知らぬ間に荷担させられるリスクを大幅に軽減させることが可能である。

編集後記　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JNSA事務局長　下村正洋

編集していないのに、いつも編集後記を書いています（書かされている？）。今回は他用があり会議に参加できなかったにもかかわらず、会議の風景写真を渡されて「書くように！」とのご下命を受けて、書いています。まず、渡された写真を見て、今年は選考会議の部屋が豪華な部屋になっていました。これなら、さぞ選考はスムーズに進行したのだと思われます。

さて、選考ボードの写真から見えてくるのは、今年は候補にあがったニュースは昨年よりあまりバラツキがなく選外になったニュースは14個でした。昨年は25以上でした。選外になったニュースから、いくつかを紹介します。まず、次点となったのはWindowsXPの終了です。これは、昨年取り上げたのが理由かもしれませんし、もしかしたら、予想していたほどの混乱がなかったことが理由かもしれません。その他には、韓国の大量情報流出、プロキシー運営会社逮捕、アップデートサーバ乗っ取りなどがあり、相変わらずくらいニュースばかりでした。明るいニュースとしてはCTF女性版大盛況、セキュリティメーカ企業上場の二つのみです。いつものことですが、来年こそは明るいニュースがもっと増えれば良いと願いつつ、編集後記を終わります。

---