セキュリティ対策企業のラックは6月9日、「日本年金機構の情報漏えい事件から得られる教訓」と題したドキュメントを公開した。一般企業/組織向けに、事件の背景や想定される原因を整理するとともに、対処方針など「他山の石として」学ぶべきことを提言している。
情報漏洩の根本的な原因は「実際の運用と、システムの実装がマッチしていない」こと
日本年金機構における情報漏洩事件では、執拗かつ巧妙な標的型サイバー攻撃によって、基礎年金番号を含む約125万件の情報が窃取された。同ドキュメントでは、発表や報道などを通じてラックが知り得た範囲の情報に基づいて被害発生の原因を考察し、他の企業や組織が取るべき行動指針をまとめている(なおラックは同事件の技術調査などには一切関与していない)。
ラックでは、情報漏洩が発生した「根本的な原因」として、本来は基幹系システムで厳重に保護されているはずの個人情報が、年金機構の運用現場において、業務遂行のために情報系システムにコピーされていたことを指摘している。
「実際の運用と、システムの実装がマッチしていない」「情報を守るために切り離された2つのネットワークの使いにくさが、逆にセキュリティの弱さにつながった」(同文書より)
また、偽メール(標的型攻撃メール)に添付されたマルウェアを実行してしまった職員の数はわずかであり、多くの職員は「攻撃を見抜き、回避」していたことも指摘。しかしながら、職員から「攻撃が行われている(可能性がある)」という情報共有が適切に行われなかったことも、被害を拡大させた要因になった可能性があるとしている。
「攻撃を認知した場合にしかるべき部門と共有する仕組みがあれば、もしかすると被害が抑制できていたかもしれません」(同文書より)
さらに、一般的な「ウイルス」による攻撃と、執拗な「標的型サイバー攻撃」ではとるべき対策が異なり、その理解が足りなかったことも指摘。最初のマルウェアが発見された段階で、標的型攻撃の可能性を検討すべきだったと述べている。
「端的に言うと、標的型サイバー攻撃の対応は、従来のウイルス対策とは全く逆のアプローチを取るべきと考えます」「標的型サイバー攻撃では、たった一人への攻撃が成功した時点ですでに複数の人が感染し、複数のウイルスが入り込んでいる、と疑ってください」(同文書より)
今回の事件から学ぶべき教訓として、ラックでは以下の5項目を挙げている。
1. 事件・事故前提の組織体制構築
2. 社員や職員の意識改革と教育
3. 事故対応チームの組織化
4. セキュリティ監視と不正通信の洗い出し
5. 事件発生を見越した演習
さらに、今回の事件が大きく報道されてしまったため、多くの組織が事故の事実を隠蔽し、犯罪手法に関する情報が共有されなくなってしまうことを懸念している、とも述べている。