大きな岐路となった2つの国内情報漏えい事件
近年のサイバーセキュリティインシデントは、個人情報漏えいの規模や経営へのインパクトも大きくなる傾向がある。2014年7月に発表された委託業者による情報漏えい事件、2015年6月の標的型攻撃から発展した情報漏えい事件はまだ記憶に新しい。
前者はセキュリティインシデントから経営的なインパクトに発展した事例だ。発表から株価が下落し時価総額にして600億円以上の損失が発生した。後者は流出の規模が大きいというだけではなく、「標的型攻撃」を強く世間に知らせることにもなった。
プライスウォーターハウスクーパース サイバーセキュリティセンター
シニアマネージャー 林 和洋氏
プライスウォーターハウスクーパース(以下、PwC) サイバーセキュリティセンター シニアマネージャー 林和洋氏は上記2件のインシデントを「大きな岐路となった国内の事件」と分析する。どちらも企業や組織としては被害を受けつつも「事後対応が適切ではなかった」として多くの批判が集中し、世間からは情報流出事件を起こした加害者のように見なされてしまったからだ。経営的には避けたい事態である。
2件の事件から「企業は普段からインシデント対応態勢を整えておく必要性があり、それは経営課題である」という認識が広がりつつある。実際、林氏によるとPwCへの相談は、従来のIT部門だけではなく経営企画やコンプライアンス部門からも増えてきているという。
直近でも次々と新しい脅威が発生している。例えば脆弱性情報を収集していたイタリアのセキュリティ企業が攻撃を受け、そこから流出したFlashやWindowsなどの脆弱性情報が次々と悪用される事態に発展している。
また2015年6月以降、アメリカ政府へのサイバー攻撃が続き社会保障番号などの個人情報が大量に流出される事件が続いた。7月の事件で流出した件数は2500万件とも報道され、ワシントンポスト紙は「おそらく米政府史上で最も深刻」と記している。今後もサイバー攻撃は高度化していくため、警戒を強めていく必要があることは念頭においておこう。
先述した2件の国内事件を契機として、対策に着手しようとする現場は様々な課題や疑問を抱えているのではないだろうか。
- どうやってインシデントを検知するのか
- 何をもって「個人情報流出がなかった」と言い切れるのか
- どのタイミングで、どのようにインシデントを発表するべきか
技術的な観点からは、次のような疑問も浮かんでくる。
- 重要なシステムのネットワークはインターネットと分離しておくべきか
- インシデント発生時には全てのネットワークを遮断すべきか
- ファイルサーバーにある重要なファイルには全て暗号化やパスワードを設定すべきか
セキュリティインシデント態勢を整えるには、こうした具体的な疑問をクリアにしていく必要がある。
