(画面はLAC社の分析資料より)

大きな問題となっている日本年金機構からの個人情報流出事件について、情報セキュリティの専門会社である会社ラック(東京都千代田区)による分析資料が公開されましたので、本Blogでもご紹介します。

(要旨)
今回の事件は「標的型サイバー攻撃」によるものである。年金機構では加入者の情報を「社会保険オンラインシステム」という基幹システムで管理されており、これはインターネットと接続された情報系システムとは接続はされておらず、本来は閉鎖ネットワークとなっていた。それにもかかわらず、何らかの理由により基幹システムから書き出された加入者情報が情報系システムに複製され、それが流出した。

今回の事件の原因は「公共団体は狙われやすいという意識を持たなかった」「実際の運用とシステムの実装がマッチしていない」「ウイルス対策と標的型攻撃の対策の違いが理解されていない」ことだ。

標的型サイバー攻撃に対する対策としては、「社員や職員の意識改革と教育」「事件・事故前提の組織体制構築」「事故対応チームの組織化」「セキュリティ監視と不正通信の洗い出し」「演習」といった取り組みが重要である。

今回の事件は衝撃的なものでもあり、危機感を持った方も多かったと思われるが、「内閣サイバーセキュリティセンターが早期に発見し、報告したこと」「年金機構が警視庁に届け出をしたこと」「警視庁が短期間に手を打ったこと」など評価できる点もあった。

http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf

(私のコメント)
非常に分かりやすいまとめです。特に最後のところで書かれていますが、今回の不正アクセスを内閣サイバーセキュリティセンターが早期に発見したのは、素晴らしいことだったと思います。日本の公共部門の信頼性が問われる事件ではありますが、抜けている部分もあれば、しっかりしている部分もあったのだと思います。






●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)