2015年も大きなセキュリティ事故が発生し、非常に多くのコストを掛けられることになりました。正しいセキュリティ対策に取り組んでいると考えられていた組織や企業の多くが攻撃され、個人情報をはじめとする情報が流出してしまった――。情報セキュリティ管理を見直したいという考えから、セキュリティ対策チーム(Computer Security Incident Response Team:CSIRT)を結成する企業が増えてきました。
2016年はどのようなセキュリティ対策を検討、実施すればよいのでしょうか。事故の対応はもちろんですが、事故の予防について、どのような方針で対策を検討し、予算を計上していけばよいのか、2015年を振り返りながら検討していきましょう。
2015年の事故の傾向
2015年に起きた事故の中で最もインパクトの強かったものは、5月に発覚した年金機構の個人情報漏えいでしょう。125万件という流出情報の数もさることながら、厚生労働省の定期点検では問題がないとされていた組織からの情報漏えいということで、その取組全体について見直す必要があると指摘されました。
また、同様の事件として詳細は判明していませんが、健康保険証などの個人情報が流出していることが12月末に報道されていました。6月に判明した全国健康保険協会における不審な通信との関係などは明確になっていませんが、さまざまな原因が考えられる中の1つとなっているかもしれません。
その他にも、大学病院や大学内におけるマルウェア感染による情報流出、自治体におけるマルウェア感染など、公共機関での事故が多かったという印象があります。
これらのウイルス感染やそれに起因する情報漏えいの多くは、スパムメールによるものと考えられており、ウイルスの感染経路がメール中心になってきていると推測できます。
一方で、相変わらずセキュリティ事故の原因となっているものにウェブブラウザのプラグイン(アドオン)があります。ウェブページをインタラクティブにするための機能として使われているAdobe Flash Playerによるトラブルも多いようです。
ゲームや広告の配信だけではなく、地域の観光協会やホテルのウェブページにおける案内など、一般利用者が多く利用するところで活用されているため、被害が拡大する可能性が高いといえるでしょう。
また、社内ポータルサイトでのFlash Playerの利用も多いことがわかっています。施設管理システムや社内の情報提供サイトなどでインターフェースやグラフ表示などをFlashで実現していることで、そこを狙った攻撃がされないとも限りません。
このようにまとめてみると、2015年も相変わらずスパムメールやウェブサイト閲覧によるウイルス感染に起因する事故が多発しており、例年と変わりないことがわかります。
どうして同じような事故が繰り返し発生するのか、そしてそれを防ぐことができないのか、その点を考えながら2016年のセキュリティ対策について検討しましょう。
