巧妙化するサイバー攻撃、社員や外部委託者による情報漏えいなど、情報セキュリティを取り巻く環境は厳しさを増すばかりだ。同時に、セキュリティ関連ツールの導入だけでは不十分であり、経営トップから現場のスタッフまでがセキュリティリテラシーを高め、全社で取り組むことが重要だとの認識も高まりつつある。そうした中、現在の組織対応力がどれだけ高いのか、どうやれば高められるのかを自己診断できるチェックシートがオープンガバメント・コンソーシアム(OGC)から公開された。
日本年金機構における個人情報漏えいや国立情報学研究所(NII)の検証用サーバーを踏み台にしたDoS攻撃(Denial of Service attack)など、不正アクセスによるセキュリティ被害が後を絶たない。米国でも人事管理局が不正アクセスを受け、連邦職員らの個人情報1800万人分が流出した。セキュリティの専門家の間では、これら公的機関への不正アクセスでは、政府レベルを含む専門組織の関与が公然と指摘されている。
日本政府のIT総合戦略本部でマイナンバー等分科会の委員も務める東京大学大学院情報学環の須藤修教授は、「マイナンバー導入を間近に控え、自治体や企業はセキュリティ対策も急いでいるが、標的型攻撃も、より巧妙かつ高レベルのアタックになってきている」と指摘する。
特に、特定者を狙った攻撃が高度化しているという。具体的には、特定した対象者を何カ月もかけて追い続け、職場や家庭でのPCなどの利用状況を調べ上げ、家庭のPCなどから感染させたマルウェアをUSB経由で職場に潜伏させる。そこからネットワーク管理者などのPCから全員のIDからシステム設定までを抽出しネットワークを乗っ取り、個人情報などを盗み出す。その後は、事件の発覚や追跡までの時間を稼ぐために、偽のログ情報まで作成し現場を攪乱させる。
須藤教授は、「巧妙化する不正アクセスに対抗するには、OSレベルからの研究を地道にやるしかなく、今すぐに提供できるものではない。それだけに、現時点での対策としては、組織として対応できるかどうかが鍵を握る」と指摘する。
セキュリティに対する組織的な取り組みの具体例がCSIRT(Computer Security Incident Response Team:シーサート)だ。情報セキュリティに関する課題発生時に被害の拡大防止や再発防止を図ったり、平常時も社内外への教育・啓蒙などを担う専門組織である。
NRIセキュアテクノロジーズが2015年1月に発表した『企業における情報セキュリティ実態調査2014』(回答数660社)によれば、上場企業およびそれに準ずる企業において、CSIRTを構築済みの企業は、前回調査の2倍を超える41.8%に増加。セキュリティ関連投資を前年度より増やす企業も31.4%に上る。しかし、人材面では不足と考える企業が82.9%と、過去3年連続で8割を超えた(関連記事『IT部門の3割がセキュリティ専門人材を採用、「採用計画なし」は約半数−ガートナージャパン調査』)。
これらの数字をみれば、日本企業のセキュリティに対する組織的対応は着実に進展しているといえる。だが、調査対象が上場企業のIT部門中心であることを考慮すれば、中堅・中小企業などIT部門機能を兼務で確保している企業などにおいては、CSIRT設置率は低いことは想像に難くない。
実際、セキュリティ事業などを営む複数のITサービス事業者が、「年金機構の事件以降、『我が社のセキュリティ対策は十分なのかどうか知りたい』といった問い合わせが急増している」と話す。すなわち、組織的な取り組みを実施していたとしても「有効に機能しているのか」が分からなかったり、「どうやって組織対応力を高めれば良いのかが不明」といった声が小さくないわけだ。