こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
セイコーグループ株式会社は10月25日、8月10日に公表した同社サーバへの不正アクセスについて、第3報を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ランサムウェア攻撃により個人情報が漏洩した件について、続報が発表されています。効果的なセキュリティ対策の組み合わせや、関連企業へ行うべきセキュリティ対策について説明します。
今回のインシデントは、同社グループ会社の従業員及び関係者に関する一部情報が漏えいしたというものです。原因として、同社の一部のサーバに第三者からの不正アクセスを確認したため、外部専門機関による調査を行った結果、本不正アクセスにおけるランサムウェア攻撃があげられています。
対策として、不正アクセスの確認後に、外部との通信を遮断し、全サーバ及び全PCへのEDRの導入を早急に進め、多要素認証等による不正アクセスの防止措置を講じています。再発防止策として、外部専門家等の第三者の助言のもとで、IT 機器の脆弱性調査、情報漏えい範囲の特定、原因の追究等、本不正アクセス被害の全容解明を行うとともに、セキュリティ強化及び監視、IT 運営や体制の見直し、全グループでのガバナンスの強化、事業継続計画の見直し、第三者評価の実施等を行うということです。
セキュリティ対策の組み合わせとして、技術的対策、物理的対策、人的対策の3つがあげられます。これらを組み合わせることで、効果的なセキュリティ対策が期待できます。
例えば、みなさんがご自宅のセキュリティを考えるとします。火災報知機やガス警報器などを用いて部屋のシステムを保護したり、監視カメラやオートロックを用いて部屋を物理的に保護したり、防犯上どんな危険があるかを家族に伝えたりすることで、ご自宅のセキュリティが担保できるのではないかと思います。
セキュリティ対策も同様に、技術的対策、物理的対策、人的対策を組み合わせて行うことが有効です。具体的には、技術的対策として、ファイアウォールやウイルス対策ソフトなどを用いて、システムを保護し、物理的対策として、セキュリティカメラや入退室管理システムなどを用いて、物理的な場所を保護し、人的対策として、社員教育やセキュリティポリシーの策定などを行うことで、社員の意識向上を図り、セキュリティを強化します。
関連企業へ行うべきセキュリティ対策として、情報セキュリティポリシーや契約書等でセキュリティ対策を義務付けることや、それらが守られていることを確認するために、定期的な監査やアセスメントを行うことが必要です。
経済産業省が公開している「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき3原則及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部に指示すべき「重要10項目」をまとめています。
具体的には、ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握として、情報セキュリティポリシーや契約書等でセキュリティ対策を義務付けることが一般的とされています。
しかし、契約書等で義務付けるだけでは不十分であり、実際に委託先やビジネスパートナー等が適切なセキュリティ対策を行っているかどうかを確認することが必要です。そのためには、定期的な監査やアセスメントを行い、委託先やビジネスパートナー等の状況把握を行うことが重要とされています。
より近い存在のグループ会社に対しては、情報資産管理やアクセス制御、ログ管理等を行い、情報漏えいや不正アクセス等、より踏み込んだ防止を検討することも重要です。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ