こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
株式会社日産カーレンタルソリューションは9月2日、同社が運営する「NISSAN e-シェアモビ」への不正ログインについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Webサイトへ不正アクセスされたことで、レンタカーが不正に利用されてしまったということです。不正アクセスを受けた際の事後対策や、免許証やマイナンバーを取り扱う事業者に求められるセキュリティ対策について説明します。
今回のインシデントは、レンタカーを不正に利用され、不正ログインの際に顧客情報の一部が閲覧された可能性を完全に否定できないというものです。原因として、レンタカーの運用システムに不正ログインされたことが挙げられています。
対策として、不正ログインが判明後に、当該不正ログインへの対策を実施しています。また、対象の顧客にメールにて連絡を行っています。再発防止策として今後、セキュリティ管理体制の改善などに取り組むということです。
不正アクセスを受けた際の事後対策として、状況を正しく把握した上で、被害範囲を特定し、アカウントの保護やシステムの復旧をすることが求められます。
まず、アクセスログを確認するなどして、いつ、どこから、どのようなアクセスが行われたのかを詳細に確認します。その上で、不正アクセスを受けた端末やシステムをネットワークから隔離し、被害の拡大を防ぎます。
そして、不正アクセスを受けたアカウントを特定し、安全が確認された端末からパスワードを全て変更します。システム自体が改ざんされている可能性がある場合は、信頼できるバックアップデータから復旧したり、システムを再構築したりすることが必要です。
万が一、攻撃者が再度、システムへの侵入を試みる可能性も鑑みて、その兆候を早期に検知するために、システムやログの監視を行うことが必要です。侵入者がシステム内に残留していた場合も、監視によりその活動を検知することで、さらなる被害の拡大を防ぐことができます。
免許証やマイナンバーカードといった個人情報が含まれる情報を取り扱う組織においては、個人情報保護法などで求められるセキュリティ対策を実施する必要があります。具体的には、組織的なセキュリティ対策、物理的なセキュリティ対策、技術的なセキュリティ対策など、多角的な視点からセキュリティ対策を実施する必要があります。これらの対策を継続的に見直し、改善していくことで、情報漏洩のリスクを最小限に抑えることができます。
組織的なセキュリティ対策として、個人情報保護に関する法令を遵守し、組織全体で共有できる情報セキュリティポリシーを策定します。また、定期的なセキュリティ教育を実施し、従業員のセキュリティ意識を高めます。情報漏洩などのインシデントが発生した場合は、迅速かつ適切に対応するための計画を策定することが求められます。
物理的なセキュリティ対策として、個人情報が保管されている執務エリアへの入退室を厳しく管理し、不正なアクセスを防ぎます。必要に応じて執務エリアや保管場所などに監視カメラを設置し、不正行為を監視します。重要書類は厳重に施錠されたキャビネット等に保管することが求められます。
技術的なセキュリティ対策として、アクセス権限の管理、暗号化、セキュリティ製品の導入、定期的なシステムの更新などが挙げられます。いつもセキュラジでお伝えしている基本的なセキュリティ対策ですが、従業員ごとに必要な最小限のアクセス権限を付与すること、個人情報を保存したり送信したりする際には暗号化を行うこと、ファイアウォール、侵入検知システム、ウイルス対策ソフトなどを導入し、OSやソフトウェアは定期的に更新を行いましょう。
今回は、不正アクセスを受けた際の事後対策や、免許証やマイナンバーを取り扱う事業者に求められるセキュリティ対策についてお届けしました。個人情報が漏洩した場合、その個人が被害にあうだけでなく、組織として信頼を失うことにつながる可能性もありますので、十分なセキュリティ対策を心がけてください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
