第85回例会報告
あなたの知らない情報セキュリティの世界
堅牢なしくみよりも社員の意識
石田淳一氏は情報セキュリティの分野に25年以上携わっているセキュリティの専門家だ。
冒頭、石田氏は2015年5月、日本年金機構が標的型攻撃を受け、年金管理システムに保管されていた125万人分の個人情報が漏洩した事例を取り上げた。このような失敗事例で被害を拡大させる要因となるのは共有ファイルサーバーの取り扱いだという。本件では、組織として堅牢にセキュリティ対策が組まれていても、一般社員が業務のために守られるべきデータを手元に置いていたことが要因となっている。相当な費用をかけて守っているにもかかわらず、社員の意識の低さからインシデントが発生することはよくあることだ。攻撃者は弱いところを巧みに狙う。パートナー企業を狙っての攻撃や内部者を狙っての攻撃もある。実は部下が情報を漏らしていた等の事例もあるという。
また、攻撃者の狙いはイタズラ目的から国家を狙ったプロのグループ犯まである。身近なものだと、マイナンバー、取引先などの情報などがある。情報の漏洩は金銭の損失、顧客・業務の喪失などさまざまな損害をもたらす。
重要な資産の定義と多層防御
しかし、石田氏によると、セキュリティ対策の基本は昔から変わらないという。基本は、①ソフトウェアの更新、②ウィルス対策ソフトの導入、③パスワード・認証の強化、④設定の見直し、⑤脅威・手口を知るの5つだ。
そして、大切な考えは重要な資産はきっちり守ることと多層防御だという。
重要な資産を守るためには、本当に大切な情報は何かを定義し、把握することが重要だ。情報セキュリティに対する考え方で情報のCIA(機密性、完全性、可用性)があるが、もし何から手を付けたらよいのかわからない場合は、まず情報資産リストを作ることがおすすめだという。そして、『リストに載っているものはコピー禁止とする』などのルールを作る。さらに工夫するのなら、それが漏れた場合はだれの責任かを明白にすることで、対策やことが起きた時への重みが変わる。
多層防御は1つの対策だけでは100%防御できないことから、複数の対策を組み合わせることだ。最低でもウィルス対策ソフトと脆弱性対策が必要だという。
また、石田氏は、IPA(独立行政法人 情報処理推進機構)の脅威ランキングを紹介し、脅威は毎年変わるため、知識に対するアップデートが必要だと強調した。IPAのビデオ等で具体的な攻撃と対策については学習可能だ。また、対策として、日本シーサート協議会を紹介した。
「シーサートとはコンピュータセキュリティにかかるインシデントに対処するための組織の総称です。加盟数300チーム以上の組織が加盟しており、シーサート同士が連携や情報共有することで、問題を解決することを目的としています。セキュリティにおいては重要なのはコミュニケーション能力です。例えば、専門家と知り合いとなることがいざというときの救いになったりするので、その支援をする団体です」
情報セキュリティ対策とは
情報セキュリティ対策は①人的・組織的セキュリティ、②物理的セキュリティ③技術的セキュリティの順で重要だという。
「情報セキュリティ対策で、最も重要なのは人です。一人のせいで社会を揺るがす大きな問題が発生することもあります。ですから、セキュリティ教育は全員に受けさせなければ意味がありません。そして、多層防御の話と通じますが、技術的対策と人への対策の組み合わせが大事です」
身近でお金をかけずにできる対策としてはパスワード・認証の強化がある。
パスワードはサービスごとに「ちょこっと変えよう」というキャンペーンについて触れ、パスワードリスト攻撃による被害に対して、コアパスワード+サービスごとの文字列を利用する方法について紹介された。
「入り口を守るやり方だけでは守るのは無理です。泥棒が家に入るとしたら、監視し、よく下調べをして、決行します。情報セキュリティも一緒で、そのように狙われてしまったら防ぎきれません。出口対策や内部対策を進めるというのが今の流れです。また、被害にあったときに少しでも早く戻すためにどうするかの対策も同時に検討することが重要です」
BSIA理事長の木内氏は最後に経営のリスクとして捉えることが重要だが、なかなかそうもいかない現実について触れた。
「セキュリティの分野は、テクノロジーの進化とともにダークサイドも進化している。
どのようなリスクがあるのか、経営者に認識をもってもらいリテラシーを高める努力をし続けなければいけない。経営者だけでなく国も取り組むべきだし、痛い目をみた経験から学ぶべきだ」と締めくくった。
田口雅美(株式会社キテラス・BSIA運営委員)