チーフセキュリティアドバイザーの高橋です。マイクロソフトに入社して、まもなく 5 年になりますが、はじめて「日本のセキュリティチームのブログ」書かせてもらうことになりました。lようやく「日本のセキュリティチーム」の一員となる機会を得ることができたように思います。
今回は、9 月末に行った弊社のお客様向けのセミナーで紹介した内容を中心に、昨今の情報セキュリティの傾向について紹介します。
このセミナーでは、現在の情報セキュリティの状況を理解し、対策を考察するため、2011 年の 8 月中旬までに日本で報道された事件と、同時期に米国で注目された事件に対する分析を行いました。」そして、この分析の結果、「2011 年は、情報セキュリティのトレンドが大きく動いた年として記憶される」、という思いを強く持つこととなりました。
この連載では、これらの事件の分析と、分析結果から見えてくる、今、必要とされる対策について、考察をしていきたいと考えています。第1回の今回は、分析の結果見えてきた日本における現在の情報セキュリティの状況について紹介します。
2011 年上半期の概要
2011 年は、情報セキュリティのトレンドが大きく動いた年として記憶されるかもしれない。
まず、1 月に Anonymous による hacktivism が話題となった。そして、この流れから大手家電メーカーに対する侵入行為や妨害行為が行われた事は記憶に新しい。また、3 月には世界的に著名なセキュリティ企業から、二要素認証に係わる情報が盗み出され[1]、この情報が防衛産業への侵入に利用されたと考えられている[2]。加えて、9 月には、日本でも防衛産業への侵入(ウィルス感染)が明らかになり、これまで、諸外国の問題と思われていた Cyber Espionage(電子的な諜報活動)が、初めて公に扱われることとなった[3]。ここ数年にわたり、米軍や米国軍事産業へのインターネットを使った攻撃(サイバー攻撃)が報道されてきたが、これが現実のもので継続的に行われている事、そして日本もターゲットである事がようやく認識されることになった。
一方で、日本で報道されている情報セキュリティ事件に目を向けると、紙などの媒体、PC、USB 等のメディアの紛失と盗難を中心とした、個人情報漏えいに関する事件が大半を占めている。この傾向は、これらの事件が個人情報保護法による届け出義務によって公表を義務付けられているためだと考えられる。しかし、注意深く分析すると、民間企業で発生した情報漏えい事件の半数が、不正アクセスやウィルスによって発生するなど、日本においても、外部からの攻撃による被害が拡大しており、紛失、盗難、内部犯行を中心としたセキュリティ対策では、対応が難しい状況になりつつある。
日本で報道された事件
日本での状況を分析するため、”Security NEXT:個人情報漏洩事件・事故一覧[4]”から、2011/1/1-2011/8/16 までの事件に対して、漏洩した媒体と、漏洩した原因について分析を行った。
全体的な傾向
漏洩した媒体を見ると、紙などの媒体が 40%と最も多く、続いて USB 等のメディア(16%)とメール(16%)、サーバーなどの不正アクセス等(14%)、PC(9%)となっている。
そして、漏洩した理由を見ると、紛失と盗難で 60%を占めており、これに誤配信・誤廃棄(19%)、設定ミス(7%)、不正アクセスとウィルス(10%)が続く。
紙が主要な漏洩の媒体というのは以前からの傾向で、今年特有の傾向ではない。個人情報漏えい対策が、PC や USB 等のメディアといった IT 関係に注目が集まりやすいが、紙に対する対策も重要であることを示している。しかし、紙媒体は暗号化等の保護ができないため、事故を想定した対策が取りにくい面があるため、社外に持ち出す情報については、IT 化も選択肢として検討する価値がある。
一方で、USB 等のメディアと PC からの漏洩は 25%を占めることから、これらに対する暗号化等の対策を確実に行えば、実質的な被害を防ぐ上で大きな効果が期待できる。
メールの誤送信も 16%を占めており、対策が必要な項目となのだが、決定的な対策は取りにくい領域と言える。最近の SNS が注目されており、コミュニケーションの手段が、メールから SNS に移行するという分析を見ることが多い。この背景には、送信相手を事前に限定できない、送信したメールを削除できないと言った、メールの特性に対する情報保護の観点も要因となっている。
最後に、個人情報漏えいの原因としては、あまり注目をされなかった不正アクセスとウィルスだが、後述のセグメントごとの分析で触れるように、既に無視できない漏えい要因となっている。
セグメントごとの分析
セグメントごとの傾向を見てみると、それぞれの特性が見えてくる。自治体、銀行、団体(業界団体、政府関連団体等)では、紙などの媒体による漏洩が半数を超えており、多くの業務が、紙を中心として行われている事がうかがえる。一方で、教育機関と、医療機関は、USB 等のメディアによる漏洩が半数を超えており、正反対の傾向を示している。教育機関、医療機関は、職場で使用しているデータを、USB 等のメディアを使って自宅などに持ち出す運用形態が多いものと考えられる。
民間企業を見ると、USB 等のメディアが 6%にとどまっているのに対して、意外なことに、設定ミス(を使った不正アクセス)、ウィルス(による流出)、不正アクセスと言ったハッキングと分類できる外的な要因が 50%を占めている。後述する米国に対する分析では、この傾向が顕著なのだが、日本でも民間企業については、意図的な外部からのハッキングが半数を占める状況に変化しており、紛失や盗難、そして内部犯行を中心としたセキュリティ対策だけでは、このような攻撃の対応ができない可能性が高い。
むすび
今回は、2011 年の上半期に報道された日本の事件について紹介しました。次回は、米国注目された事件を取り上げる予定です。
つい先ほど、Digital Crimes Consortium 2011 から帰国しました。改めて、グローバルで議論されている最新の情報セキュリティについて触れることができました。こちらも、機会を見て、雰囲気などをご紹介していきたいと思います。
[1] Open Letter to RSA Customers
http://www.rsa.com/node.aspx?id=3872
[2] Lockheed Martin Acknowledges ‘Significant’ Cyberattack
http://www.pcworld.com/businesscenter/article/228960/lockheed_martin_acknowledges_significant_cyberattack.html
[3] 情報セキュリティ政策会議 第27回会合(平成23年10月7日)
http://www.nisc.go.jp/conference/seisaku/index.html#seisaku27
[4] Security Next 個人情報漏洩事件・事故一覧
http://www.security-next.com/category/cat191/cat25