日本年金機構の漏洩問題、情報を守るのはツールではなく“人”だ | 東京IT新聞

日本年金機構の漏洩問題、情報を守るのはツールではなく“人”だ

コンシューマー セキュリティ

先月(5月)に発生し、今月になって明らかになった日本年金機構の大規模な情報漏洩問題。約125万人の個人情報が流出するという“大事件”となっています。連載31回目は、シスコシステムズのセキュリティソリューションスペシャリストである筆者から、企業内のITセキュリティのあり方を今一度考え直すことを求める緊急提言を掲載します。

これは防御できたはずの攻撃だったのか?

年金機構が持つ氏名や基礎年金番号など個人情報約125万件が流出した(国の発表資料)
 日々、あらゆるメディアで日本年金機構による大規模な情報漏洩問題が報じられています。私にも数多くの問い合わせを頂きましたので、今回はこの大規模情報漏洩事案に対し、組織が取るべき正しい方向性について解説していきましょう。  今回の問題は一言でいえば、年金情報を保有する端末やサーバがウイルス感染し、犯罪者によってその情報が不正に盗まれたという事案となります。  報道によると、そのウイルスも未知のものではなく、既存のウイルス対策製品を正しく運用し、ウイルスが狙ったシステムの脆弱性に問題がなければ防御できた攻撃ともいわれています。  しかし、本当に“レガシー(古典的)”なウイルス感染だけによる影響でしょうか。また仮にウイルス対策を正しく運用し、“公開されている”システムの脆弱性対策ができていれば回避は可能だったのでしょうか。  この問題は「対岸の火事」で自分の組織は関係がないのでしょうか。

どの企業も年金機構のような問題が起こる可能性

情報漏洩を受けて注意を喚起する厚生労働省のページ
 結論から言えば、業務にパソコン(PC)やサーバを利用し、インターネットに接続できる環境があれば、どの組織も同様の事案を抱えている可能性が極めて高いということ。それに気づいているか否かが重要なポイントです。  私が実際に対応する事案の場合、一般的に大規模な組織が多いため、ウイルス対策製品も正しく運用され、ほかのセキュリティツールも導入しており、各システムに対する脆弱性対策も基本的にはできています。  しかし、それであっても事案が発生してしまうのです。  本連載で何度もお伝えしてきた通り、攻撃者側は既存のセキュリティツールやシステムを想定し、攻撃を仕掛ける際には疑似環境で攻撃が成立するかを“テスト”したうえで、攻撃を仕掛けてきます。  したがって、今考えられるセキュリティ対策を行っていたとしても攻撃の事実を把握する事はできず、結果的に事案へと発展するわけです。

最先端の組織やシステムを築くのは大事だが・・・

 そうした流れから、世の中ではサイバー攻撃に対応する専門組織を形成しようという動きから「CSIRT(シーサート=インシデントの対応組織)」が形成されつつあります。  さらには、既存のセキュリティツール群で防御できない攻撃をより早く把握して対処するため、ネットワーク内のファイアーウォール(FW)やプロキシ(Proxy)といった構成機器から出力されるシステムログ(生ログ)をリアルタイムに分析するための「統合ログ分析システム(SIEM=シーム)」を導入検討する動きが活発化しています。  私自身、この動き自体はきわめて正しいと思いますし、検討自体に苦言を呈するものではありません。しかし、検討段階で大きく欠落していることがあります。

攻撃者側の知見やツールはきわめて洗練されている

 こういった最先端のSIEMなどのツールを運用するのは“人”であり、先に述べたCSIRTチームのアナリストがその任務を担うわけですが、テクノロジやグラフィカルレポートばかりに目が向いてしまい、本当に検討すべき重要なポイントがおろそかになっているという点です。  そのような背景を攻撃者側はよく理解してます。攻撃者側の知見やツール(攻撃プログラムなど)はきわめて洗練されており、仮にSIEMによって攻撃の“予兆”がわかったとしても、それが本当に攻撃なのか、システムの誤警告なのか、さらに攻撃であればどのような攻撃によってどのような事案が発生するのか――そうしたことを特定する側にも、相当に高い知見が求められます。

担当者が片手間で対応できるようなレベルではない

 しかもそれらのツールから出力される警告、いわゆる「アラート」数は膨大であり、片手間で組織内のアナリストが対応できる次元ではありません。  仮に人的リソースを配分できたとしても知見レベルや、さらにアナリストのモチベーションを高める組織的なバックアップの面など、現実的には多くの課題を抱えてます。  “仏作って魂入れず”ではないですが、攻撃者側は彼らの視点からみれば使命を持って攻撃してくるわけですから、守る側もその使命に対応しなければなりません。  もう少し正確に言えば、システムから出されるアラート発報により、アナリストが即座にセキュリティ対処を判断できるものという誤解と“夢物語”が散見されますが、アラート発報はあくまでイベント分析のトリガー(引き金)に過ぎません。  そのトリガーを元に組織に保存されている様々な生ログを調査・解析し、事案の特定とその原因、さらには対処策までを包含したプロセスをCSIRTの運用で定義していかないと、高額なツールを使いこなせないばかりか、ツール依存によって本当の攻撃を見逃してしまうというケースも多く目にしてきました。

日本で高度な地震発生の予兆分析が可能な理由

 今こそ、皆さんが信頼できるセキュリティベンダやコンサルタントと密に連携し、そういった日常運用や事案発生した際のインシデントレスポンス対応を大前提とした連携を真剣に考えるタイミングです。  身近な例をあげれば、日本は地震発生の予兆分析は世界でもトップクラスと言われています。それはなぜ実現できているのか。全国に張り巡らされた地震発生の予兆を分析するセンサ(座標軸やP派)などをリアルタイムに専門家が分析し、地震発生の予兆を判断するからです。  インターネットの世界も同じです。インフラ内に張り巡らされた、言い変えればインフラを構成するネットワーク機器やサーバ、PC端末などが出力するアラートログや生ログを専門家が分析することにより、初めて予兆分析が可能となるのです。  仮にPCが既存のセキュリティ対策では捕捉できない攻撃を受けてたとしても、さまざまな生ログから事案を特定し、いち早い対処や、脅威の局所化が可能となります。  こうした日々の分析が「エビデンス(根拠)」となり、自組織のセキュリティ対処の実態が可視化され、必要に応じて監督官庁へ報告もできる訳です。

統合ログ分析システム(SIEM)導入について一言

 最近、SIEM(シーム=統合ログ分析システム)に関する問い合わせが急増していますので、専門家の観点から1点だけお伝えしたいことがあります。  SIEMはさまざまなインフラから出力されるログを収集し、各社独自のアルゴリズムやデータベース情報をマッピングして脅威を洗い出します。  しかし、攻撃者側がそのアルゴリズムを超えた攻撃を仕掛ける事を想定した場合(実際に大規模な事案はこのケースですが)、保存(蓄積)した過去ログ1年分などをアナリストが分析する作業が求められます。  要はリアルタイム分析が主体のツールテクノロジと保存されたログを分析する作業の連動性が極めて重要なポイントとなります。  今はどこの企業も経営層から「うちは大丈夫なのか?」といった声が噴出していますが、一度原点に立ち返ってみましょう。守ってくれるのはツールでなく“人”である、という根本を踏まえたうえで、対策を検討いただきたいと願っています。
《楢原 盛史》

特集

コンシューマー アクセスランキング

  1. 話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

    話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

  2. 実はすごい「ホームドア」 鉄道の自動運転化には欠かせぬ存在だった

    実はすごい「ホームドア」 鉄道の自動運転化には欠かせぬ存在だった

  3. IoTで見守りシステム、小中学生に端末配布…箕面市

    IoTで見守りシステム、小中学生に端末配布…箕面市

  4. ネット予約システム市場に異変、無料高機能の「レゼルバ」が与える影響

  5. <EC売上調査>トップはアマゾン日本、セブン&アイは対抗できるか

アクセスランキングをもっと見る

page top