久しぶりの執筆になります。前回は昨年の2月だったので、最終回を前にして、なんと実に1年以上間が空いてしまいました。震災後、本業が立て込んでいたとはいえ、執筆が大幅に遅れてしまったことは反省の限りです。それでは、遅ればせながら、最終回となる「第10回・それなりにセキュリティ」を始めたいと思います。
ここ1年間における情報セキュリティ界の大きな出来事といえば、やはり、三菱重工および政府機関などが、重要情報の搾取を目的とした標的型サイバー攻撃の被害に遭い、世間を騒がせたことでしょうか。
それらの事件を受け、政府機関は今年1月末に、国防に関わる情報や原発などの重要情報の漏えいを防ぐため、調達先の民間企業に対して、十分なサイバー攻撃対策を講じることを義務付けました。
また、サイバー攻撃を受けた際も、政府一丸で対応に当たれるような体制を構築すべく、すべての省庁へ、サイバー攻撃に一元的に対応する専門チームを設けました。従来のセキュリティ対策だけでは不十分であり、早急にセキュリティ体制の見直しが必要であることがうかがえます。
今回は、昨年からの代表的な標的型サイバー攻撃の内容について少しおさらいしながら、サイバー攻撃に対する“それなり”のセキュリティ対策を考えていきます。
2011年から2012年にかけての情報流出事案
2011年9月に、三菱重工の関連子会社のパソコンがウイルスに感染し、外部へ重要情報が流出した可能性があるとのニュースが流れました。
最終的に流出した可能性があると判断された情報は、国防に関わる情報(自衛隊で使用する戦闘機・護衛艦等)、原発の設計情報、関連子会社員の個人情報です。
同年10月、衆議院のパソコンでもウイルス感染が確認され、議員・秘書用端末のユーザーID・パスワード、メールデータが流出。続いて11月には、参議院のパソコンでも同様のウイルス感染と情報流出が認められました。
そして、11月には総務省でも、職員の個人情報・業務関連情報が流出した可能性が発表されました。
年が明けた2012年1月には、JAXA(宇宙航空研究開発機構)の業務システム・NASAへアクセスするためのユーザーID・パスワード、国際宇宙ステーションに関する業務関連情報流出の可能性(流出時期は2011年7~8月頃)の発表と、立て続けに国の機密に関わる情報流出事案が明るみに出て、世間を震撼させました。
