デジタル推進人材育成プログラム「マナビDX Quest」での学習が進みました。今回は「セキュリティマネジメント」でサイバー攻撃対策に関してベンダーが順守するべき法と実際に対策するべき例について学びました。
セキュリティーマネジメント
セキュリティの3要素(機密性・完全性・可用性)、セキュリティ技術(暗号化・生体認証等)、情報セキュリティマネジメントシステムなど、セキュリティ関連のデジタル技術や企業・個人が実施すべき対策の概要を学ぶ
情報セキュリティの基礎
情報推進処理機構によると、2023年調べでの個人・組織に対する10大情報セキュリティ脅威は以下の順となっている。
個人に対する攻撃
1、フィッシング
2、ネット上の誹謗中傷・デマ
3、メール・SMSによる脅迫・詐欺、金銭要求
4、クレジットカードの不正利用
5、スマートフォン決済の不正使用
6、偽広告・偽警告によるインターネット詐欺
7、不正アプリによるスマートフォン利用者への被害
8、ネット上サービスによる個人情報の窃取
9、ネットバンキングの不正使用
10、ネット上サービスへの不正ログイン
組織に対する攻撃
1、ランサムウェア
2、標的型攻撃による機密情報の窃取
3、サプライチェーンの脆弱性を悪用した攻撃
4、テレワーク中の社員などを狙った攻撃
5、内部不正による情報漏洩
6、脆弱性対策情報の公開・漏洩による悪用増加
7、ゼロデイ攻撃(修正プログラムの実装前を狙った攻撃)
8、ビジネスメール詐欺・金銭被害
9、予期せぬIT基盤障害の発生・業務停止
10、不注意・ケアレスミスによる情報漏洩
情報セキュリティのCIA
- 機密性(Confidentiality) - 許可された者のみがアクセスできる
- 完全性(Integrity) - 保有する情報が正確であり、完全である
- 可用性(Avaiability) - 許可された者のみがいつでも情報にアクセスできる
脅威と脆弱性・対処法
- 物理的脅威 - 自身、火事、盗難、不法侵入
- 技術的脅威 - 不正アクセス、マルウェア
- 人的脅威 - ミス、内部不正
サイバー攻撃の手法と対処法
1、パスワードクラック
パスワードを不正に割り出す
2、クロスサイトスクリプティング
WEBページ等の出力処理箇所にハッカーのスクリプトが埋め込まれる
3、DoS攻撃
サーバーに大量のデータを送り付け機能不全にさせる
4、標的型攻撃
業務関係のメールと偽ってウイルスつきファイル・偽の公文書や私文書等を送り付ける
5、中間者攻撃
暗号化等が不十分なネットワーク機器にハッカーが割りこむ
これらのサイバー攻撃に対処するには、攻撃の糸口となる脆弱性に対処することが基本となる:
サイバー攻撃の糸口と対策できる事
1、ソフトウェアの脆弱性
ソフトウェアを更新する
2、ウイルスに感染
セキュリティソフトを導入する
3、パスワードの窃取
パスワードの管理・認証を強化する
4、設備不良
技術的な設定を見直す
5、広告・偽メールによる誘導
脅威の種類や手口を把握する
リスクマネジメント
サイバー攻撃に対処するためには、リスクを放置することで発生する損害を見積もるリスクマネジメントを行う必要がある。リスクマネジメントを担当する部署は各部門のセキュリティーを統括するリスクコミュニケーション、リスクの特定を行うリスクアセスメント、実際に攻撃に対処するリスク対応を担当する。
企業がリスクマネジメントを行うには、リスク分析シートに情報試算管理台帳を一元化するのが効果的である。また情報セキュリティポリシーを策定しサイバー攻撃対策の基本方針・対策実施手順を定める必要がある。詳しくは情報処理推進機構による用例を参照。
リスクマネジメントの基礎として、リスクが高いものから優先的に対処する。
企業にとって最も重大な情報セキュリティーリスクは個人情報の流出、その次がデータの消失・盗難、その次が営業秘密の漏洩となる。複合機の軽微な故障、パンフレットの数がわずかに足りない等の小さなリスクと比べると当然重大リスクを優先して対処するべきである。
情報セキュリティマネジメントシステムの水準としては、国際規格のISO/IEC27001を満たしているかがメルクマークとなる。詳しくはJQAによる解説を参照。
情報セキュリティ対策
日本年金機構不正アクセス事件(2015年)
情報セキュリティ対策の基本として2015年に発生した日本年金機構不正アクセス事件について学習する。この事件では標的型メールと外部オンラインストレージサービスに保管されていたウイルスによる攻撃が行われた。偽造メールに記載されていたURLを職員がクリックしたことによりその端末に不正プログラムがDLされ、外部に125万件の個人情報が流出した。当時の日本年金機構のサイバー攻撃に対する脆弱性はこのように分析されている。
①組織体制の脆弱性
年金機構の情報セキュリティ対策にはスペシャリスト1名が配属されていたが、当人は役員や管理職といった意思決定者に率直に進言できる職位ではなかった。本来情報セキュリティ対策を統括する部門はこうした意思決定者に直接・同じ立場で発言できる状態でなければならない。
②個人情報保護に関する認識・知識の不足
個人情報の暗号化が不十分で、共有フォルダにアクセス制限とパスワードが設定されているのみであった。そのため膨大な個人情報がサーバーの共有フォルダーに保管されており、1度のサイバー攻撃で大量の情報が流出してしまった。
③システム監査の機能不全
自己点検が不十分であり、情報セキュリティ対策の監査を行う部門が存在しなかった。本来であればリスクアセスメントの段階で標的型攻撃を想定したセキュリティ対策・評価項目を設けるべきである。
④現場に対するガバナンスの不十分性
年間数千件に及ぶ指示依頼があり、その処理と徹底には相当な負荷がかかっていた。
リスク管理体制を明示化
現場に向けたにガバナンスの一環として、経営方針としてセキュリティ対策とリスク管理体制を明示することが推奨される。具体的な指示項目の例:
1,サイバーセキュリティリスクを認識し、組織全体で対策方針を策定する
2,セキュリティリスク管理体制を構築する
3,セキュリティ対策のための資源:予算、人材、機材を確保する
4,セキュリティリスクの把握とリスク対応に関する計画の策定
5,セキュリティリスクに対応する仕組みの構築
6,PDCAサイクルによるサイバーセキュリティ対策の継続的改善
7,インシデント発生時の緊急対応体制の整備
8,インシデントによる被害に備えた事業継続・復旧体制の整備
9,ビジネスパートナー・委託先・ユーザーを含めたサプライチェーン全体の状況把握
10、セキュリティに関する情報の収集、共有、開示の促進
マルウェア対策
情報セキュリティ対策のとしてマルウェア(いわゆるコンピューターウイルス)に対策する方法を学習する。マルウェアは個人情報・営業秘密を盗む・流出するなどの意図で作成された悪意のあるソフトウェアで、ウイルス・スパイウェア・アドウェア、フィッシング、トロイの木馬、ランサムウェア 等々と呼ばれている。マルウェアはUSBなどの記録媒体、メールや偽ソフトウェア等を通してネットワークから感染する。
マルウェアに対処するにはウイルス対策ソフト・ウイルス動作を検知するヒューリスティック法が有効である。外部からの不正アクセスへの対応にはファイアウォール、侵入検知システムが有効である。
マルウェアに対する対策は多層防御化といい、ネットワーク・端末・サーバーの3層に対策を施す必要がある。また全てのアクセスを信用しないゼロトラスト考えが重要となる。また管理するべき情報を復習箇所に分散させない、一元管理を徹底する必要がある。
不正のトライアングル
人間が不正を働くのは、機会・動機・正当化という3要素が揃う場合となる。
例えば人のいない公園のベンチに財布が置きっぱなしになっている等窃盗をする機会があると、「生活に困窮しているからお金が欲しい」「お金が欲しいのはみんな同じ」といった動機付け・正当化が行われ財布が盗む者が現れる。
セキュリティ関連法規
個人情報保護法
個人情報の有用性に配慮しつつ個人の権利を保護する事が目的。
特定の個人を識別できる個人識別符号、人種や社会的身分などの要配慮個人情報の2種がある。個人識別符号・要配慮個人情報の収集には原則として本人の同意が必要である。
本人同意なしで利用することができるのは、個人情報を完全に抹消した匿名加工情報のみである。匿名加工情報とするには、顧客情報テーブル等から会員ID・氏名・生年年月・住所・電話番号、そして要配慮個人情報のすべてを抹消しなければならない。これらを仮ID・10年区切りの年代・居住地域などに替えることは匿名加工情報として可能である。
破産者マップ
個人情報保護法に基づき国の個人情報保護委員会が個人サイトを告発した例として、官報に掲載されている自己破産申請が行われた事業所の住所を転載してGoogle Mapに掲載していた「破産者マップ」がある。官報に公示されている情報でも本人同意なしで要配慮個人情報を収集し転載する行為は個人情報保護法に抵触する。また「破産者マップ」事件を受けて改正個人情報保護には「不適正な利用の禁止」という条項が加えられた。
リクルート社の「応募者スコア」
また個人情報保護委員会が不適切な機械学習の利用と個人情報の転売を厳正に注意した例として、リクルート社の応募者スコアの販売がある。学生応募者の内定率を機械学習で予測したスコアが販売されていたが、そのスコアの算出にはCookieを利用して収集した学生の閲覧・行動履歴が用いられていた。本人同意なく閲覧・行動履歴を収集し第三者に提供する情報とすることはプライバシーポリシーに行動履歴の分析・利用企業の情報提供が明記されていても本人同意に相当するとは見なされない場合がある。
海外法人への個人情報の移転
海外への個人情報への移転は保護の水準が同等、あるいは日本以上であると認定された国だけであれば本人同意なしで可能である。日本の場合これはEUとイギリスのみである。アメリカ・中国・韓国等々の外国サーバーへ個人情報を移転するには本人同意と日本の個人情報保護法に相当する措置を講じる外国企業であること・移転先に必要かつ適切な監査が行われることを証明する契約・確認書を作成する必要がある。
番号利用法
いわゆるマイナンバーカードを行政手続きに利用するための法律。マイナンバーカードは税務・社会保障・災害対策などの行政手続きを効率化するため、限定的に定められた範囲内で利用する事を目的としている。
番号利用法を順守しなければならないのは国税庁・厚生労働省といった国・地方の行政機関と独立行政法人(個人番号利用事務実施者)、および個人番号利用事務実施者に対し源泉所得表・支払調書などの提出を請け負う民間事業者(個人番号利用関係実施者)である。
番号利用法10条により、個人番号を利用する情報を再委託して移管する場合は個人情報保護法と同様委託元の同意を得なければならない。個人番号には個人情報と同様の水準の保護を施す必要がある。
サイバーセキュリティ基本法
ネット・サイバー空間を自由、公正かつ安全な空間とするための法律。
国はサイバーセキュリティに対して総合的な施策を、地方公共団体は自主的な施策を行う義務を負う。また14の重要インフラ分野を担う民間事業者(重要社会基盤事業者:情報通信、金融、航空、空港、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油)に対し自主的・積極的にサイバーセキュリティの確保に勤めること、国・地方公共団体の施策に協力するよう義務付けている。またITベンダー全般をサイバー関連事業者に位置づけ、国・地方公共団体の施策に協力するよう努めるべしとしている。
不正アクセス禁止法
不正アクセス行為と不正アクセスにつながる識別符号(要はIDとパスワード)の不正取得と保管、また不正アクセスを助長・幇助する行為を禁止する法。特に機械の端末とネットワークを通じて行われているものを取り締まるための法律である。
具体的には不正ログイン、セキュリティホール攻撃、フィッシング行為を禁止している。
不正アクセスに対応するためには、記憶情報・所持情報・生体情報のうち2つ以上を用いた二重認証・多要素認証が推奨されている。