セキュリティの
学び場

今回の解説ニュース

国のセキュリティ機関がサイバー攻撃を受け、個人情報が漏えいした可能性があるということです。今回のインシデント対応が速やかに行われたポイントと、あらかじめ機器に作り込まれている脆弱性への対策について説明します。

今回のインシデントは、NISCのメール関連システムに対し不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性が判明したというものです。原因として、メーカーで確認できていなかったメール関連システムに係る機器の脆弱性が挙げられています。

対策として、当該システムの状況確認のために運用を停止し、不正通信の原因と疑われる機器を交換するとともに、他の機器等に異常がない ことの確認や、内部監視の強化等の対策を実施の上で、当該システムを再稼働しています。また、本事案について個人情報保護委員会に報告と、対象者に個別に通知を行っています。再発防止策として、セキュリティ対策の強化に努めるとともに、セキュリティ関係機関等と連携し一層の状況把握に努めるということです。

インシデント対応が速やかに実施されたポイント

今回のインシデント対応が速やかに実施されたポイントの一つとして、システムに対する不正通信を常に監視していたことが挙げられます。

例えば、みなさんの家にも、火災報知器やガス漏れ警報器があるのではないでしょうか。実際に火災などが発生して、誰の目にも被害が明らかになる前に、身の回りで起きている問題に気が付くことができるための仕組みです。本来は、火災の原因となる設備の老朽化や不備などに、気が付くことができたらいいのですが、必ずしもそうとは限らないため、これらの設置が義務付けられています。

セキュリティ対策も同様に、本来は、脆弱性が常に洗い出されて解消されることが望まれるのですが、必ずしもそうとは限らないため、システムに対する不正通信を検知できる、セキュリティ監視が必要とされます。セキュリティ監視を実施していれば、仮に脆弱性の存在を認識できなかったとしても、攻撃者に悪用される不正通信をもって、サイバー攻撃の被害を水際で食い止めることができる可能性があります。

機器に作り込まれている可能性がある脆弱性への対策

機器に作り込まれている可能性がある脆弱性に対して、ゼロデイを想定した対策が求められます。

脆弱性のゼロデイとは、ソフトウェアやハードウェアに存在するセキュリティ上の欠陥について、発見や公表から修正プログラムが提供されるまでの期間です。この期間は脆弱性を修正するための手段が提供されていないこともあり、サイバー攻撃が発生した際に被害が広く発生する可能性があります。

ゼロデイの脆弱性は、開発者やセキュリティ研究者によって発見されることもありますが、多くの場合は攻撃が発生した後に気づくことになるため、先ほど説明したセキュリティ監視が有効に機能する場合があります。

また、ゼロデイの脆弱性が悪用されても被害を最小限に抑えるために、必要な権限や通信を最小限にすることが必要です。仮に、ゼロデイの脆弱性が悪用されてシステムへ侵入されたとしても、他のシステムへ影響を拡大させないために、外部から各システムへの通信だけでなく、各システムから外部への通信についても、最小限にすることが求められます。