「標的型サイバー攻撃は、従来のウイルス対策とは全く逆のアプローチをとるべき」――セキュリティベンダーのラックは6月10日、日本年金機構からの個人情報流出事件から学べる教訓についてまとめた文書（PDF）を公開した。同社は事件の技術調査には関与しておらず、同社が知り得た範囲の情報を基に「他山の石として学ぶべきことを提言する」としている

システムの使いにくさをカバーする「運用の工夫」が穴に

今回の事件は、年金機構の職員のPCが標的型メール攻撃を受けてウイルスに感染し、ファイルサーバなどに保存していた125万件の年金に関する個人情報が盗み出されたとされている。

年金機構は、メールやネット閲覧など外部との通信が可能な「情報系システム」と、個人情報が保存されていた「基幹システム」は、直接接続できない仕組みにしていた。だが運用の現場では、基幹システムに保存されていた個人情報をDVD-Rなどに保存し、情報系システムのファイルサーバに複製しており、複製されたデータが標的型メール攻撃によって盗み出されたと報じられている。

ラックが公開した文書より

同社は、「個人情報を情報系システムのサーバに保存していた行為そのものが、今回の事件の根本的な問題だった」と指摘。「システムの設計に起因する使いにくさを、システムそのものの改善でなく、運用上の『工夫』により『使いやすく』活動すると、結果的にセキュリティ侵害を手助けする」と説明。これは、システム設計時の予算や期間の見積もりが甘かったことや、実際の業務を十分把握せず設計してしまったことで生じるシステム上のリスクだと指摘している。

1|2 次のページへ