日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流
http://itpro.nikkeibp.co.jp/atcl/news/15/060101820/?mln
年金情報流出:内規違反 55万件にパスワード設定されず
http://mainichi.jp/select/news/20150602k0000m040117000c.html
年金機構で個人情報流出のセキュリティ事故が起きました。
・電子メールによる標的型攻撃
・個人情報を業務上の都合でインターネットに接続されたLAN上に格納
・個人情報にパスワードを付与していなかった
という、最近よくあるパターン(もちろん質の悪いパターンですが)です。
個人情報は様々な組織に存在して、様々な担当者が取り扱うものですから、狙いを定めれば(標的型攻撃)盗むのも比較的容易です。
年金もマイナンバーもネットワークシステムがありますが、そのシステム本体を狙うコストを掛ける攻撃者などいません。遥かに低いコストで、たくさんの情報を入手できるのですから。
ネットワークシステムが銀行の地下金庫だとして、わざわざそこを狙う犯罪者はいませんよね(ルパン三世じゃあるまいし)。
現金輸送車なり、ATMなり、誰かのカバンなり(=担当者の端末)が狙われるのが一般的です。
人間というのは不安定で不確実なもので、多くの人が集まればなおさらですから、業務ルールだけでセキュリティを守ることは限界があります。
じゃぁ、ということでシステムで防御する、となるのですが、このご時世、システムでセキュリティを確保するのにはそれなりのコストがかかります。
(ファイアウォールとウィルス対策ソフトがあるからバッチリ!と言っていた時代が遠い昔のようです・・・)
・全クライアントで、意図しないプログラムの実行を記録
・防御すべきファイルへのアクセス、プログラム、頻度、同時問い合わせ件数を記録
・外部へのファイル送信プログラム、頻度、件数、サイズの記録
・上記の実行ユーザの記録
・物理的な端末利用の記録(監視カメラ)
・これらに対してしきい値を設定してアラートを出す仕組みを用意
ざっと簡単に挙げてもこれらの対応が必要です。
もう、個人情報は持たない、社内であっても見せない、が一番の対策です(笑)
(盗まれるものがないからと、戸締りにルーズな家と似てますね・・・)
ただ、これらの対策を施している企業や団体は非常に少ないですし、これからも増えない、と断言できます。
私とセキュリティ業界との関わりは結構昔で、10数年前にセキュリティ専門のコンサルティングを行う知人の会社を手伝っていた頃からになります。
その会社は、北米のハッカー(良い側のハッカー)と連携して、かなり高度な技術を提供していましたが、日本ではほとんど仕事が取れずに会社を畳んでしまいました。
10数年前と言えば、「セキュリティなんてカネにならない」の一言で、セキュリティ対策が否定されていた時代です。
皆さんの記憶でもそうだったのではないでしょうか?
10年弱前くらいから、別の知人のセキュリティ製品の普及の支援をするようになりました。
その会社では、技術はすべて自社開発で、他社には真似のできないレベルまでログを取得することができるなど、純国産でなかなかの技術を持っていました。
金融系に人脈のある方だったので、大手金融機関などに採用されていました。
この頃になると、大きなセキュリティ事故などもよく報道されるようになり、そういった事故を起こした大手企業などから問い合わせも良く受けていたようですが、実際には導入の話は進まなかったのです。
いろいろ理由はありますが、つまるところは「高い。予算が無い。」ということです。
その独自技術を持っていた知人の会社も、いろいろあって実質会社は無くなり、技術も失われました。
事故を起こした大手企業や団体などは、「セキュリティ対策をさらに行います!」などと会見で言いますが、実際には新たに予算が付くことは稀です。
もう起きてしまったから間に合わないと考えるのかは知りませんが(笑)、要はセキュリティに投資する価値を、経営者が理解できていない、ということなんでしょうね。
業界で独自基準を設定し、それを達成しないとビジネス自体ができないようにしている金融系など、セキュリティ対策にコストを掛けている企業や団体は限定されているのが実際のところで、それ以外の業界や団体への普及は、経営者の価値観が変わらない限りあり得ません。
意外とセキュリティとの関わりの長い弊社ですが、価値を感じてもらえないビジネスには今後も後ろ向きなままでしょうね・・・
もちろん、(広い意味での)セキュリティコストが低い、という点で、日本は素晴らしい国だ!というのは変わらないでいてほしいですが。
彼方立てれば此方が立たぬ、でしょうか(笑)
