SAAJ近畿支部第155回定例研究会報告 (報告者: 岸川 信二)

会員番号2482 岸川 信二

1.テーマ   「標的型攻撃をはじめとするサイバー攻撃の現状と対策」
2.講師    有限責任監査法人トーマツ
アドバイザリー事業本部 エンタープライズリスクサービス
シニアマネジャー 植垣 雅則氏(本協会近畿支部会員)
3.開催日時  2015年11月20日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201

5.講演概要

 「標的型攻撃をはじめとするサイバー攻撃の現状と対策」

saaj20151120日本年金機構を狙った標的型メール攻撃により大量の個人 情報が流出する事案が発生するなど、サイバー攻撃による 情報セキュリティの脅威が年々高まっている。サイバー攻撃の手口がますます巧妙化・複雑化する中、組 織としてサイバー攻撃に備えるには、管理面・技術面の両方から情報セキュリティ対策を高度化する必要がある。本講演では最近の発生事案を例にとり、課題を整理するとともに、どのような対策が考えられるかについて解説する。また、システム監査人として、どのような役割を果たせるかについて考察する。

<講演内容>

(ア) 標的型メール攻撃

「標的型メール攻撃」とは、特定の個人や組織に向けて関係者になりすましてメールを送信し、悪意の添付ファイルを開かせたり、悪意のサイトへ誘導することで、不正なプログラムを実行させる攻撃のことである。
メールで侵入してくるため、従来のセキュリティ対策で使用するファイアウォールでは防げず、亜種や新種も多いことからウィルス対策ソフト等により侵入時点で100%の駆除をすることが困難である。
2011年度以降、大手メーカーや政府機関が「標的型メール攻撃」により被害を受けたことを公表するなど、「標的型メール攻撃」による機密情報の搾取等が最近社会的な課題になっている。攻撃を未然に防ぐためには、技術的な対策だけでは不十分であり、電子メールを使用する社員(利用者)一人一人への十分な電子情報セキュリティ教育とその継続や不審メール攻撃訓練を行うなど、運用管理面も含めた対策が必要である。

(イ) 日本年金機構の不正アクセス事案

2015年5月に日本年金機構が標的型メール攻撃によって狙われ、一部の端末がウィルスに感染し、気付かない間に、約125万件もの大量の個人情報がインターネットを通じて外部に流出するという重大事案が発生した。一人がふとした不注意から問題のあるメールに添付されたファイルを開いてしまうと、気付かないうちにマルウェアに感染し、最悪の場合、社内の機密情報が攻撃者に勝手に送信されてしまう。メールに対する一人の不注意が、企業の存続を危うくする事態を引き起こすおそれがある。事案発生を受けて日本年金機構は8月に調査結果を公表した。その調査結果からどの様な対策を備えればよいのか、説明された。
インターネット接続下にある共有ファイルサーバから大量の個人情報が流出したが、以下の課題があがった。

① ルール軽視・無視   ・・・ 「共有フォルダ運用要領」は作成されていたが、徹底が図られず、ルール自体が有名無実化していた。
② リスク認識の甘さ・欠如  ・・・ インターネット接続下にある共有ファイルサーバに個人情報を保存することのリスク認識が甘かった。役員はもとより組織全体としてサイバーセキュリティの危機認識が欠けていた。
③ 日頃の職員向けの注意喚起が不十分
④ 攻撃発覚後の職員向けの注意喚起が不十分

課題を踏まえ、類似のインシデント発生を防ぐため、以下の推奨する確認・検討が示された。

① 標的型メール攻撃に対する注意喚起・訓練
② 重要情報の取扱いに対する注意喚起・徹底
③ インターネット接続環境のセキュリティ対策状況のチェック
④ 情報セキュリティ対策・個人情報保護対策の点検
⑤ インシデント(情報セキュリティ事故)に備えた体制整備

(ウ) ウェブサイトに対する攻撃

最近、ウェブサイトに対する不正アクセスが多発しており、ウェブサイトにアクセスしたお客様がウィルス感染する事例やウェブサイト全体の閉鎖を余儀なくされ、会社の売上やお客様からの信頼を損なうような事例も発生している。ソフトウェアの脆弱性が起因している背景があるが、不正アクセスに対する会社の発見や対応遅延が被害を拡大しているケースもある。実際に発生したトラブル事例を通じて、各社各機関のウェブサイトに求められるセキュリティ対応策を紹介された。

(エ) ウェブサイトのセキュリティ対策状況点検事例

ウェブサイトに対する脅威は様々なものがあり、セキュリティ対策に関する情報は多数公表されている。単に情報収集するだけでは不十分であり、実際に自己点検(チェック)することが重要である。IPAのチェックリストを活用したセキュリティ対策状況の点検事例について紹介された。

6.所感

昨今、サイバー攻撃の手口が複雑化・巧妙化しており、年々セキュリティリスクが高まっている状況である。会社・団体からの機密情報の流出や電子情報機器のウィルス感染は経営への影響も大きく、確実な対策を求められる環境にある。
対策としては、ネットワークおよびサーバ・パソコンなどの電子情報機器に対して行う従来からの技術的な対策だけでなく、社員(システム利用者)への情報セキュリティ教育や啓蒙活動の実施と継続など、運用管理に関する対策も重要になっている。講師が述べられていた「一人でも意識が低い人がいると、その人がセキュリティホールになる」というコメントが印象に残った。情報セキュリティ管理者は肝に銘じて対策を打つ必要があると私は考える。
システム監査人は自社のサイバーセキュリティ対策が有効に機能しているか、技術面・管理面の両面からチェックすることが求められる。他社で発生したセキュリティのインシデント事例や、IPA等の公的機関が公表する情報も収集し、状況に応じた適用が必要であり、日々の研鑽が必要と感じた。
本日は、標的型攻撃をはじめとするサイバー攻撃の現状と対策につき、貴重な講演を頂戴しました。

以上