Ari's Blog

Reading makes me rich !

なに!?ネットにつながるネットワーク上のファイルサーバに保管してただって!?

leave a comment »

ニュース – [続報]日本年金機構、ファイル共有サーバーを5年以上前から運用:ITpro.

この記事読んで、憤りを通り越し、呆れ、諦め、脱力感すら感じた…。

基幹システムから個人情報を抽出するには、権限のある職員による申請が必要だった。抽出データは暗号化された上でCD-ROMに格納されて職員に渡されていたという。同機構は回答を控えたが、職員がパソコンでCD-ROMの内容を復号し、ファイル共有サーバーに移していたと見られる。

公的期間って ISMS とかの導入はないのだろうか?そう言った審査機関に見られるのも NG なデータを扱っているのだろうか?

権限者だけがアクセスできる DB、暗号化してメディアに焼く、メディア管理もバッチリとしても、上記のように中身を復号化して普通の内部 LAN にパスワードなしで保存とかしちゃうセキュリティに関する感度、扱っている情報への感度が「普通の業務レベル」という、あまりにも悲しすぎる現実。こんな意識なら、職員同士でパスワードなしでメール添付でやりとりされていても不思議じゃないレベル。

年金情報流出:遮断遅れ感染拡大 新種ウイルス検知できず – 毎日新聞.

こんな「ウィルスソフトでも検知できない新種」とかいう論調があるが、そもそもルール違反の運用していて「ウィルスが新種だったから」なんて言い訳は成り立たない。第一、今どきウィルスソフトで防げるウィルスなんて限られたものだけで、高度化する攻撃には「ないよりまし」程度である、という認識のもとで運用面で徹底した防止策と、検知時に如何に迅速に被害を最小限に抑えるか?という普段の取組が最重要である現在のセキュリティ対策において、「怪しいメール添付は開かないように周知していた」って…。それじゃ何もしていないのと一緒だよ…。「やめてって言ったのに、勝手にやったんだよー、おかあさーん」なんて言っているのと同じレベルなのが悲しすぎる。既に問題が発生したことを検知したにも関わらず、対策を迅速に行い、運用を徹底する「管理能力」もないことを日本年金機構は白日のもとに晒してしまったわけだ。

皆が言うだろう、「マイナンバーなんてやばすぎるじゃん!」その通りだ。どんなにシステムが強固で、厳しい運用ルールを設けたとしても、それを使う側が遵守しなければ何の意味もない。「ウィルスソフト」とか「ファイアーウォール」とか全く関係ないから。そもそもソーシャルアタックにはそれらは何らの防御性もないわけだから。最近の標的型メール攻撃は、糸口はソーシャルアタックで、毒団子を食べた PC から内部へ感染経路を広げ情報をごっそり持っていく、ばら撒くパターンなのでね。

あ!もしかしたら今回の事件って、そんな現実を知っているスーパーハッカーが、マイナンバー制導入を目の前に危機感を募らせ、問題提起のためにやった!?なんてのはあまりにも平和で性善説過ぎる考え方か…。

広告

Written by arito

2015-06-03 @ 00:44

カテゴリー: セキュリティ

Tagged with ,

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。