年金機構事件から1年、日本が至急やるべき10の対策と心構え:ハギーのデジタル道しるべ(1/3 ページ)
社会を震撼させたサイバー攻撃による日本年金機構での情報漏えいから1年が過ぎた。残念ながら企業・組織の意識やと対策行動が大きく改善する兆しは見えない。ただちにやるべきこととは何かを挙げる。
予想していたサイバー攻撃の脅威
筆者の主な仕事は、金融機関などのコンサルタントやセミナー、講演会だが、数年前からいくつかのセミナーで次のような文言を紹介している。もし読者で受講された方なら、いま一度配布したテキストなどを確認していただきたい。
米国国防総省の関係者によると、少なくとも日本だけで年間1000億円以上もの被害がでているはずという。しかし国内の政府関係者、金融関係者、一般企業などでは、
- 被害があっても情報公開しない
- そもそも被害に遭っているという認識すらない
という実態がある。物が盗まれるのではなく「情報」が盗まれるので、「情報だから」と 言い逃れができるなどの多くの理由により、そのほとんどが隠ぺいされている可能性がある。だが、「公開しないリスク」は計りしれない状況となっている。
これは、ソフトウェアの作成などで国防総省に頻繁に出入りされている米国人幹部から実際に聞いた話だ。彼は、「もっと情報を公開しないと。目の前の泥棒を捕まえられなくなってしまうのではないか」という。筆者は20年に以上にわたる情報セキュリティの経験から、上記の2点を彼に伝えた。
すると、「ほとんどの企業や団体は、そもそも被害に遭っているという認識すらないというケースが多い。セキュリティ会社に調査依頼があると、高確率で既に数カ月前、時には数年前から情報が盗まれていたという結果になってしまう」と発言された。
そういう意味で、2015年にサイバー攻撃を受けて情報漏えいが発生した日本年金機構は、少なくとも「被害者」であると判明しただけ、まだましだったということになる。だが、これも警視庁などへ届け出た結果として、外部組織が詳しく分析したことから、詳しい原因や対策が見えてきたにすぎない。自前で対応していたなら、せいぜい「今後は怪しいメールを開かないようにしなさい」という程度の対策で終了していたかもしれない。
2016年2月7日にNHKスペシャル「CYBER SHOCK」が放映された。その番組で初めて公表された事実は次のものである。
- 日本年金機構だけが攻撃されたのではない
- 実は1000以上もの企業や団体が攻撃されていた
- だが「攻撃された」を公表した企業や団体は数えるほどしかない
要は、上述の筆者が数年前からセミナーで指摘していることが、実際にそうだったということだ。テキストにあるように、一部の企業・団体はサイバー攻撃を認知しても公表しない。実は「攻撃されていても気が付いていない」という極めてまずい状況にある企業や団体がほとんどという驚愕の実態がそこにある。
この辺の技術的な側面は本論ではないので省くが、「Emdivi」「Blue Termite」などと呼ばれている日本だけを標的にしたウイルスが話題になった。これも筆者は数年前からその存在をセミナーで予告していた。
今まで日本は、「2バイト圏」「漢字の国」「独特の文法」などの見えない障壁があり、攻撃はさほど気にならなかった。しかし、攻撃はすぐにそれらの壁をかい潜り、平和ぼけしているという日本人の脇の甘さに付け入る。目に見えないものに対する防御に慣れていない日本で大きな被害が発生する日が来る。
関連記事
- 年金機構の情報漏えい、事故対応のミスで被害拡大と報告
調査報告ではセキュリティ担当者が標的型メール攻撃の可能性を感じながらも、組織的なインシデント対応が不十分だったことが被害拡大につながったと指摘している。 - 年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。 - 2015年注目のセキュリティ事件、トップは年金機構攻撃 専門家の見方は?
社会人の印象に残ったセキュリティ事件では6割以上に認知された日本年金機構へのサイバー攻撃がトップだった。しかし、調査したマカフィーではランキング外の脅威を挙げる。 - 軍需産業を狙うサイバースパイの活動詳細、スイス当局が手口を公開
攻撃側は特段に高度な手口を使ったわけではなく、ただ周到な準備を行ったうえで、多大な忍耐力をもって侵入し、組織内で感染を広げていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.