こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
国立大学法人北海道大学は3月1日、工学部ウェブサーバへの不正アクセスによる個人情報流出の可能性について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Webサーバに不正アクセスがあり、個人情報が漏洩した可能性があるということです。情報漏洩のセキュリティ対策としてデータを暗号化することの有効性や、自社で行うことができる脆弱性の探し方について説明します。
今回のインシデントは、データベースに保存されていた個人情報が流出した可能性があるというものです。原因として、Webサーバに第三者からの不正アクセスがあったことが挙げられています。
対策として、異常検知後に、攻撃元を含む学外からの通信を遮断し内部調査を実施するとともに、専門機関による外部調査を実施し、本件以外の技術的問題がなかったことを確認しています。また、対象の顧客に別途、メールにて個別に連絡を行っており、現在はデータベースと切り離した新たなWebサーバを稼働させています。再発防止策として、運用している各種サーバやシステムの構成について見直しを始めています。また、運用方法の見直しや定期的に評価と検証を行う体制を整えるなど、セキュリティ対策室と連携して情報セキュリティに対する取り組みを強化するということです。
データの暗号化は個人情報の漏えいに有効なセキュリティ対策の一つですが、単独で完全なセキュリティ対策とはならないことに注意が必要です。
暗号化されたデータは、暗号化に使用した鍵がない限り閲覧することができません。よって、データベースに第三者から不正アクセスされたとしても、情報を盗み見されることを防止することができます。個人情報保護法などでは、個人情報の適切な管理を求めており、暗号化は有効な手段の一つとして認められています。
ただし、データの暗号化に強力な暗号化アルゴリズムを利用しないと、暗号化されたデータが解読されてしまう可能性があります。また、暗号化に使用した鍵を厳重に管理しないと、鍵が第三者の手に渡ってしまうことで、暗号化されたデータが複合化されてしまう可能性があります。よって、誰が、どのようなデータを暗号化し、どのように鍵を管理するのか、明確なルールを定めることが求められます。
自社で行うことができる脆弱性の探し方として、資産管理から始める方法が挙げられます。管理した資産に関連する脆弱性と脅威情報を、常に把握することが求められます。
自社で脆弱性を探す方法として、セキュリティ専門企業が行っている作業を内製化する方法が挙げられますが、一般的には技術力を持ったエンジニアが必要とされるなど、簡単には再現することができません。現実的に自社でできる脆弱性を探す方法として、資産情報を管理して、それに紐づく脆弱性や脅威情報を、脆弱性データベースや脆弱性情報サイトから検索することが挙げられます。
資産情報はソフトウェア名に加えて、バージョン情報やインストールしたOSも追加で管理することが必要です。それらの情報を脆弱性データベースや脆弱性情報サイトで検索して、脆弱性や脅威情報を常に把握するようにしましょう。これらの作業は技術的な難易度は低いものの、繰り返し資産情報を更新して脆弱性や脅威情報を検索することは時間がかかる作業となりますので、自動化して効率化することが求められます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
