年金機構事件から1年、日本が至急やるべき10の対策と心構え:ハギーのデジタル道しるべ(2/3 ページ)
社会を震撼させたサイバー攻撃による日本年金機構での情報漏えいから1年が過ぎた。残念ながら企業・組織の意識やと対策行動が大きく改善する兆しは見えない。ただちにやるべきこととは何かを挙げる。
1分1秒でも早く始める対策
もはやサイバー攻撃というレベルではなくサイバー戦争の領域にある。それも悔しいことに、防御側(私たち)は今まで負け続けている。正確には、そういう交戦状態にあるという認識すらしていない。
そして、日本のあらゆる業種・業態の企業・組織がその被害に遭っており、しかもその大部分が事実に気が付いていないという悲惨な状況だ。攻撃者の踏み台にされる「中間サーバ」の多くが、セキュリティの重要性を全く考えていない零細企業の中にある。
日本がサイバー空間で攻撃を行うことはまずあり得ないし、それはしてはいけないだろう。防御側は全方位で守るしかないが、攻撃側はその中で1つでもピンポイントで攻撃して突破すれば、セキュリティ対策という企業・組織が講じた城壁内から何億円、何十億円以上もする貴重な情報を盗める。しかもペナルティはほとんどない状況のため、攻撃を止めることは絶対にない。
テロリスト対策やサイバー攻撃などのいくつかの事案では、筆者は所属する学会の学術講演会や公開討論会でも警告してきた。しかし、気が付いて実際に行動する企業や団体はそれほど多くはなかった。多分、この数年間だけでも数千億円以上もの価値ある情報が盗まれている。その状況は前述の会話やNHKスペシャルからでも伺い知ることができる。これで倒産した会社も多数ある。
日本の企業・組織、そして個人はもう自覚すべきだ。そろそろ自分たちの置かれている状況を第三者の視点で眺めて分析し、どうすれば将来にわたって禍根を残すことなく対応できるのかを考えるべきではないだろうか。被害に遭わないようにするには、どうすればいいのか。2015年の日本年金機構事件から学び、実践してほしいと筆者が強く願う対策手段と心構えを紹介したい。
いまできる10のセキュリティ対策と心構え
1.「既にサイバー戦争の交戦状態にある」という認識で、企業は防衛策を真剣に考えること。
2.セキュリティ予算を勘定科目としてどう位置付けるかを考えるのではなく、企業の存続を左右する極めて大きな「投資」であることを自覚する(単なる「経費」ではない)。
3.企業は自身の財産をよく認識する。そして、「インターネットありき」の考えではなく、ファイアウォールに似た構想で企業全体の防御壁をデザインすべきである。まずは全く企業全体がインターネットから隔離されているという状態を構想し、その中から必要最低限のリソースやシステム、ハードウェア、ソフトウェアなどを接続させる。例えば、ポートは80だけ解放するなど必要最小限にとどめ、侵入者がどの程度の深さまで侵入するかを考慮し、企業全体の壁を考える。
関連記事
- 年金機構の情報漏えい、事故対応のミスで被害拡大と報告
調査報告ではセキュリティ担当者が標的型メール攻撃の可能性を感じながらも、組織的なインシデント対応が不十分だったことが被害拡大につながったと指摘している。 - 年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。 - 2015年注目のセキュリティ事件、トップは年金機構攻撃 専門家の見方は?
社会人の印象に残ったセキュリティ事件では6割以上に認知された日本年金機構へのサイバー攻撃がトップだった。しかし、調査したマカフィーではランキング外の脅威を挙げる。 - 軍需産業を狙うサイバースパイの活動詳細、スイス当局が手口を公開
攻撃側は特段に高度な手口を使ったわけではなく、ただ周到な準備を行ったうえで、多大な忍耐力をもって侵入し、組織内で感染を広げていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.