セキュリティ対策の実例
今日は、本年より試行されるマイナンバー制度をテーマにしようと思っていましたが、昨日から本日にかけて、日本年金機構の情報漏えいのニュースがありましたので、ITセキュリティに関連して書きたいと思います。
今回ニュースについては、以下のサイトに経緯がよくまとまっています。
http://d.hatena.ne.jp/Kango/20150601/1433166675
(よくまとまっていて感心させられます、感謝ですね)
メールに添付されていたファイルを開いたところ、悪意のあるプログラムのようなものがPC上で動作して、情報をどこかに送りつけたか、外部からのセキュリティホールができてしまったか、ということだと思います。
過去のサイバー犯罪を含め、もっと詳細な手口が知りたいところですが、これらはオープンにすると模倣される危険性があるため、詳細が公開できないと思われます。
私の大きな関心事は次の3つです。
1)添付されていたファイルの種類は何か?
2)使用していたメールソフト(メールシステム)は何か?
3)どういうセキュリティ対策がとられていたか?
特に1)は、今どき、exeやmsiといった実行形式のプログラムということではなかろう、と思われるからです。また、HTMLメールにより悪意のあるスクリプトが実行された、ということでもなかろう、という興味もあります。
もしかしたらPDFファイルかもしれません。
もしこれらであれば、公的機関としては基本のセキュリティ対策が不十分だったといわざるを得ません(民間企業では事業内容からあえてセキュリティ対策をゆるくするケースもありますので悪しからず)。
例えば、生まれて1時間も経たない最新のウィルスに感染したということは可能性としては考えられますが、そうでもない限り、ITのセキュリティはかなりのレベルで高めることは可能だと思います。
普通の企業が一番簡単にセキュリティを高める方法は、資産管理やセキュリティ対策を目的としたIT統合管理ソフトを導入することだと思います。
例えば以下の製品です。
IT統合管理ソフトウェア 「AssetView」 (ハンモック社)
提供機能を列挙すると、以下の通りです。
IT資産管理、アプリケーション配布、PC操作ログ管理、個人情報検索、USBデバイス制御、不正PC遮断、リモートコンソール、ウェブフィルタリング、ファイル制御・暗号化、ウイルス対策、メール監視・分析、画面操作録画、スマートデバイス管理、高速ログ検索
以下の図とファイルは、この中のウイルス対策の画面と、ウイルス対策リストの出力例です。当社で実際に利用している状態のものです。
いかがですか?
本当にセキュリティソフトが機能しているかどうかがよくわかると思います。
先の情報漏えいニュースでは、ウィルス対策ソフトでは検出できなかったとありますが、そもそもきちんと動作していたのかどうかということがわからないと、次に何を調べ、どういう対策をしたらいいのかがわかりません。そういう意味でも、結果がどうであれ、きちんと管理することは大切です。
このような統合ソフトは、一般的には50ユーザー以上など、まとまった数量が契約の対象となり、またサーバーも必要となります。当社では、ソフトウェアベンダーの協力も得て、これらを小分けしてクラウドで提供するサービスを準備中です。1ユーザーフルセットで2千円程度ですが、機能を絞って価格を抑えて利用することも可能です。これでも、IT担当者を雇用したりコンサルを依頼するよりはコストが明快で効果が確実です。
次回、セキュリティExpoなどに公式サービスとして発表することを目標に準備を進めたいと思います。
※本記事はメールマガジン『インスクエア ビジネスニュース』に寄稿しました。
