メディア

もはや待ったなし、危機管理の決め手「CSIRT」構築セキュリティ強化塾(2/7 ページ)

» 2016年03月15日 10時00分 公開
[キーマンズネット]

システム設計と運用の問題点

 厚労省の報告書では日本年金機構のシステム設計と運用上の問題点が次のように指摘されている。

  • 社会保険オンラインシステムと日本年金機構のLANシステム上の情報系システムが分離されているが、業務上の理由でLANシステム側の共有フォルダに個人情報を保管することが一定ルールで認められていた
  • 共有フォルダにはアクセス権の設定またはパスワード付与が行われていたが暗号化はされておらず、必要がなくなっても情報が削除されないまま残るなど、ポリシー外の運用が行われていた
  • LANシステムに内在する脆弱性への対策が十分でなかった。標的型攻撃を想定したシステム設計、運用がなされていなかった
  • メールやインターネットアクセスのログは取得していても監視が常時行われていなかった

セキュリティ体制と運用の問題点

 これらの問題点とともに、セキュリティ体制の脆弱性も指摘された。

  • 日本年金機構にCSIRTが設けられておらず、厚労省との緊急連絡体制も定められていなかった
  • CISO(情報セキュリティ管理責任者)、CIO及び各部門の情報セキュリティ責任者を統括する情報セキュリティアドバイザーが任命されてはいたものの、セキュリティアドバイザーは職員1人のみで、しかも業務兼務で事実上職務から外れていた
  • 運用委託会社との間の契約ではインシデント発生時の緊急対応に関する具体的なサービス内容は合意されていなかった
  • 一般職員に対して標的型攻撃メールへの対応などのサイバー攻撃に関する教育が不十分で対応訓練も行われていなかった。注意喚起文書でも具体的な対応方法が記載されていなかった

 また厚労省内では年金局が日本年金機構のLANシステムを監督し、同省全体の情報セキュリティ対策は政策統括官付情報政策担当参事官室(情参室)が担当していたが、いずれも責任部局であるという認識が薄く、積極的な指導監督が行われなかったという問題も指摘されている。同省にはCSIRTも構築されており、専門家であるCIO補佐官が5人配置されていたものの、いずれも非常勤であり、情参室職員や他のCIO補佐官と常時緊密に連携できる体制になく、実効性に欠けるものだった。

 これらの体制の不備や中途半端な運用が、図1に見るような後手の対応につながり、適切な緊急対応にならなかったことが報告書から如実に浮かび上がる。では、民間企業のセキュリティ体制はどうだろうか。今や標的型攻撃の対象となるのは政府機関や大企業ばかりではない。中堅中小企業であっても日本年金機構事件は対岸の火事ではない。上記の問題と同様の脆弱性が自社にないかを早急に点検し、まずはインシデントへの緊急対応が適切にとれる体制を作り上げることが急務といえる。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。