標的型攻撃がシュミレーションされていなかった
セキュリティ対策にはISO27000やプライバシーマーク(JIS Q 15001)などの規格があり、日本年金機構のセキュリティ対策もこれらの審査で認められるくらいのセキュリティ水準は維持していたはずです。しかし、標的型攻撃に耐えられるところまでのセキュリティ水準ではなかった、ということが読み取れます。まずダウンロードした機密情報にはパスワードを設けることになっていたそうですが、パスワードを設けていない機密情報もあったようです。人間ですからパスワード設定を忘れて保存した、なんてこともあるでしょう。そこでパスワードを設けないとダウンロードできないシステムであれば、そもそもパスワード忘れは起こりません。標的型攻撃対策の一つで、ファイルの暗号化は広く有効と考えられています。標的型攻撃の水準でシュミレーションされていれば、システムが改修されているか、パスワードルールが徹底されていたでしょう。
また、情報流出は警視庁からの連絡で初めて分かり、流出が発覚するまで約1カ月かかったということです。福岡県事務所でのウイルス感染後に、監視を強化するなどの対応が必要でした。標的型攻撃による事故が発生したらどう対処するのか?、という明確な事後対応ルールがあれば、後手後手の対応になることはなかったでしょう。
つまり想定して対策しているセキュリティ水準よりも、攻撃側のレベルのほうが高かったということです。であれば、攻撃側の水準よりもさらに高いセキュリティ対策を行えれば解決です……。でもそうなると、セキュリティ対策のコストが大幅に増加してしまいます。
セキュリティホールは、人間
予算を無限に使えれば、最強の対策ができるでしょう。しかし、現実的に予算には限りがあります。そこで“機密情報を扱うパソコンはインターネットに接続しない”というルールにすれば、ウイルス感染しても情報漏えいはしないし、コスト増加もない、という考えに落ち着くかもしれませんね。一見すると得策ですが、机上の空論に過ぎません。
竹を割るように、インターネットに接続しないなんてことができるのかどうか。たとえば、印刷会社へ入稿するときはインターネットに接続するなど、場合によって“あいまいや矛盾”が生じるはずです。またメールでも大量に流出すれば機密情報に該当することもあるでしょう。完全な切離しは不可能です。それとソーシャル・エンジニアリングはメールだけではありません。物理的な接触も想定しておく必要があります。
私たちは時として、設備などのハード面にセキュリティを求めてしまいます。セキュリティは面倒くさいのが心情です。しかし、どのような対策であっても“あいまいや矛盾”が生じるため、そこは人間がカバーするしかありません。つまり人のレベルアップを抜きにした対策は、リスクを残してしまうことになるのです。いま“ソーシャル・エンジニアリングに引っかからない”ということに本気にならなくては、標的型攻撃による大事件がどんどん増えてしまうでしょう。
セキュリティ対策を追求すれば、行きつく先は人間になると私は思います。そしてセキュリティ・リテラシーの向上がより強固なセキュリティ対策になり、IT社会の健全な発展につながっていくのではないでしょうか。ハッカーに勝つのは設備ではなく、人間だと、この事件から改めて考えてみました。
【関連記事】
・トラブル回避!のための資格
【関連サイト】
・IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」