年金機構事件から1年、日本が至急やるべき10の対策と心構えハギーのデジタル道しるべ(3/3 ページ)

» 2016年06月10日 08時25分 公開
[萩原栄幸ITmedia]
前のページへ 1|2|3       

4.その上で、多層防御、出口・入口対策、情報漏洩検知、情報漏えい防御、振る舞い検知、異常取引感知、などさまざまな視点で隔壁を構築して欲しい。

5.民間企業では重要度に応じてコストパフォーマンスに優れた対策を実現させる(考慮しないとコストは幾何級数的に増大する)。

6.「対策済み」「問題ない」という考えを全て捨てる。「ひょっとすると重要な情報が外部に垂れ流しているかも」と考え、気が付かないという行為の恐ろしさを感じとってほしい。最近の「Emdivi」ウイルスなどは極めて巧妙に攻めてくるため十分な配慮が必要である。

7.「怪しいメールは開くな」という提言は無意味。文字通りに規則へ記載すると人は委縮してメール自体を開かなくなる。万一の場合もメールを開いた人間には大きなペナルティ(降格処分、賞与ゼロ査定など)を課してはならない。「怪しいかも?」と感じたら「全てここに転送しなさい」といったルールにする(サンドボックスや隔離された環境で調査や実際に開いてみる)。

8.サイバー演習が取り入れている「怪しいメール」をトリガーにするようなシナリオは、もはや意味がない。日本年金機構での事件を基に演習を構想しているのである程度は理解できるが、「怪しいメール」を出発点にすると、その定義や見分け方という演習目的から逸脱した議論に陥る。攻撃者は、演習で解説されるような内容が通用しないような新しい手口をすぐに実装してしまう。演習はムダではないが、それよりもメールの挙動やWebを見た場合のセキュリティそのものの強化を考える。怪しかろうが、そうでなかろうが、全てに対応できる内容にすべきだと思う。

9.誰もが信頼する自治体などのWebサイト上に「Emdivi」があり、セキュリティが脆弱なPCで閲覧すれば、まず感染する。セキュリティの強化策はWebサイトとPCの双方向で必須である。

10.企業全体としてネットセキュリティの監視役をつくる(一部企業ではそれをCSIRTに委ねているし、機能できるならそれも良い)。部門やシステム単位で判断するのではなく、企業全体のセキュリティとして抜本的に考える。ID、パスワード、その他認証なども包括的に、全方向で監視、監査し、不適切であれば改善命令を出す。情報セキュリティ監査のような個別なものではなく。企業の存続を左右する「インターネット・トータルセキュリティ監査室」というような別組織を構築することが望ましい。


 以上に記載した作業以外にも、自社のサーバが攻撃の踏み台にされていないかどうか、不審なデータを送信もしくは受信した形跡がないか、といったものも含めるのが理想だろう。しかし、多くを望むと失敗する可能性がある。自社でどこまで可能なのかを真剣に議論することが不可欠である。

 米国のオバマ大統領は、2015年2月13日に「サイバーセキュリティを強化する大統領令に署名し、発動させた。同日夕方の演説では「サイバーセキュリティの脅威が、地域的あるいは全国的に、公共の衛生や安全、経済的安全保障、国家安全保障などに壊滅的な影響を与える結果となる可能性がある基幹インフラに重点を置く」と述べ、「米国の敵は我が国の送電網や金融機関のネットワーク、航空管制システムを妨害しようとしている。“安全や経済に対する現実の脅威に直面しながら、なぜ何の対策も取らなかったのか”と、何年も経ってから後悔することはできない」と語った。このような行動は称賛に価すると思う。

 そして2016年2月に大統領は、サイバーセキュリティ予算を2017年は35%も引き上げ2兆円規模にすると発表したのである。さて、日本はどう対応するのだろうか……。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ