ウィルス対策・セキュリティソフト/ウィルス対策・セキュリティソフト関連情報

他人ごとではない、年金情報流出事件が起きた背景(2ページ目)

標的型攻撃により年金情報が流出する事件が発生しました。もし万が一、ターゲットにされてしまうようなことがあれば、どこの職場でも漏えい事件に発展してしまう可能性があるでしょう。今回は、この事件を未然に防止する対策があったのかどうか、事件と照らし合わせながら検証してみましょう。

齋藤 実

執筆者:齋藤 実

ウィルス対策・セキュリティソフトガイド

標的型攻撃がシュミレーションされていなかった

セキュリティ対策にはISO27000やプライバシーマーク(JIS Q 15001)などの規格があり、日本年金機構のセキュリティ対策もこれらの審査で認められるくらいのセキュリティ水準は維持していたはずです。しかし、標的型攻撃に耐えられるところまでのセキュリティ水準ではなかった、ということが読み取れます。

まずダウンロードした機密情報にはパスワードを設けることになっていたそうですが、パスワードを設けていない機密情報もあったようです。人間ですからパスワード設定を忘れて保存した、なんてこともあるでしょう。そこでパスワードを設けないとダウンロードできないシステムであれば、そもそもパスワード忘れは起こりません。標的型攻撃対策の一つで、ファイルの暗号化は広く有効と考えられています。標的型攻撃の水準でシュミレーションされていれば、システムが改修されているか、パスワードルールが徹底されていたでしょう。

また、情報流出は警視庁からの連絡で初めて分かり、流出が発覚するまで約1カ月かかったということです。福岡県事務所でのウイルス感染後に、監視を強化するなどの対応が必要でした。標的型攻撃による事故が発生したらどう対処するのか?、という明確な事後対応ルールがあれば、後手後手の対応になることはなかったでしょう。

つまり想定して対策しているセキュリティ水準よりも、攻撃側のレベルのほうが高かったということです。であれば、攻撃側の水準よりもさらに高いセキュリティ対策を行えれば解決です……。でもそうなると、セキュリティ対策のコストが大幅に増加してしまいます。

セキュリティホールは、人間

予算を無限に使えれば、最強の対策ができるでしょう。しかし、現実的に予算には限りがあります。そこで“機密情報を扱うパソコンはインターネットに接続しない”というルールにすれば、ウイルス感染しても情報漏えいはしないし、コスト増加もない、という考えに落ち着くかもしれませんね。

一見すると得策ですが、机上の空論に過ぎません。

竹を割るように、インターネットに接続しないなんてことができるのかどうか。たとえば、印刷会社へ入稿するときはインターネットに接続するなど、場合によって“あいまいや矛盾”が生じるはずです。またメールでも大量に流出すれば機密情報に該当することもあるでしょう。完全な切離しは不可能です。それとソーシャル・エンジニアリングはメールだけではありません。物理的な接触も想定しておく必要があります。

私たちは時として、設備などのハード面にセキュリティを求めてしまいます。セキュリティは面倒くさいのが心情です。しかし、どのような対策であっても“あいまいや矛盾”が生じるため、そこは人間がカバーするしかありません。つまり人のレベルアップを抜きにした対策は、リスクを残してしまうことになるのです。いま“ソーシャル・エンジニアリングに引っかからない”ということに本気にならなくては、標的型攻撃による大事件がどんどん増えてしまうでしょう。

セキュリティ対策を追求すれば、行きつく先は人間になると私は思います。そしてセキュリティ・リテラシーの向上がより強固なセキュリティ対策になり、IT社会の健全な発展につながっていくのではないでしょうか。ハッカーに勝つのは設備ではなく、人間だと、この事件から改めて考えてみました。

【関連記事】
トラブル回避!のための資格

【関連サイト】
IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
【編集部おすすめの購入サイト】
Amazonで人気のウイルス対策ソフトをチェック!楽天市場で人気のウイルス対策ソフトをチェック!
  • 前のページへ
  • 1
  • 2
※記事内容は執筆時点のものです。最新の内容をご確認ください。
※OSやアプリ、ソフトのバージョンによっては画面表示、操作方法が異なる可能性があります。

あわせて読みたい

あなたにオススメ

    表示について

    カテゴリー一覧

    All Aboutサービス・メディア

    All About公式SNS
    日々の生活や仕事を楽しむための情報を毎日お届けします。
    公式SNS一覧
    © All About, Inc. All rights reserved. 掲載の記事・写真・イラストなど、すべてのコンテンツの無断複写・転載・公衆送信等を禁じます