朝日インタラクティブは7月13日、「ZDNet Japan × TechRepublic Japan 情報漏えい対策セミナー」を開催した。ここでは、ディアイティクラウドセキュリティ研究所 所長の河野 省二氏の基調講演と、東京大学大学院情報理工学系研究科ソーシャルICT研究センター 次世代個人認証技術講座 特任准教授の山口利恵氏による特別講演の模様をお伝えする。
日本年金機構が個人情報125万件を流出してから1年。最近では、JTBが793万件という膨大な数の個人情報を流出するなど、情報漏えい事故が止まらない。いずれも外部からの標的型メール攻撃を受けての被害とされている。だが、事故の本質は攻撃だけだったのか。河野氏による基調講演「他社の情報漏えい事故から学ぶ自己点検と自己防衛のための基盤づくり」では、情報セキュリティ対策の有効性と事故対応のポイントを解説した。
「従業員を守るIT基盤の構築を」ディアイティ河野氏
ディアイティ クラウドセキュリティ研究所 所長 河野省二氏
河野氏は冒頭、「残念ながら、サイバーセキュリティ事故から学ぶことは少ない」と指摘。その理由について「学びを得るためには、事故の原因を究明しなければならないが、それが難しいこと」「正しい対策には正しい情報を得なければならないが、それが難しいこと」の2つを挙げた。
実際、多くの企業は既にセキュリティ対策を講じているにもかかわらず攻撃を受けており、攻撃を受けたことにすぐに気づかないことが多い。また、サイバーセキュリティ事故はほとんどの場合、犯人はつかまらず、犯人からの報告も基本的にはない状況にある。そうしたなか河野氏が提案するのが「日々のプロセスにセキュリティを組み込むこと」だ。
「セキュリティ事故が起こったときに対策を検討するのではなく、通常の業務をしっかり実施していれば特別なセキュリティ対策はいらないという認識を持つことが重要です。例えばWindowsに脆弱性が発覚したとき、それを修正するプログラムを適用します。同じことを日々の業務のなかに取り入れ、業務を改善していくのです」(河野氏)
河野氏によると、情報セキュリティ活動とは、平常時に対策が期待通りに機能しているかをチェックし続け、事故が起こったときは、それらを封じこめ、調査・分析を行うとともに再発防止の計画を立て、さらにその対策が期待通りに機能しているかをチェックし続ける活動となる。「業務が改善していなければ、同じ問題を繰り返す可能性がある」(同氏)のだ。
その上で、河野氏は、インシデントレスポンスのポイントや、対策を期待通りに行う際に必要となる考え方、組織体制やガバナンスで求められることなどを解説していった。
インシデントレスポンスに失敗しないためのポイントとしては「被害者への対応を迅速に行うこと」「十分な情報を持たずに発表するようなことはせず、メディア対応は1回で終わらせること」「個人情報の定義など、再発防止に役立つ情報を明確化すること」を挙げた。
また、考え方については「個人情報を守りたいのに、個人情報が何でどこにあるのかもわかっていないケースがあります。たとえば、メールアドレスは個人情報なのか、メールアドレスが記載された名刺は個人情報なのかといったところから情報管理をはじめる必要があります」とした。
ガバナンスについては、難しいパスワードや不審メールの判断など、ダメなマネジメントは責任を末端に集中させると指摘し、上が責任を取る良いマネジメントが必要だと強調。そのために必要となるのは、適切な情報収集と判断であり、ITを活用して「判断の明確化」と「効率化」による生産性向上が期待できるとした。
河野氏は「エビデンスを残してセキュリティのPDCAサイクルに生かしていくことが重要です。そのためにはIDマネジメント、ログマネジメントが必要になってます。ITをうまく活用して、従業員を守るIT基盤を構築していってほしい」と訴えた。