先日、日本年金機構の情報流出問題がありました。
125万件の年金に関する個人情報が漏えいしたということで、典型的なサイバー攻撃の事例として非常に大きなニュースとなりました。
海外のハッカーによるという説が有力ですが、どうやらメールの添付ファイルにウィルスが仕込まれており、それを開いてしまったということでした。
これまでの経緯から、私達が学べることは何でしょうか?ビジネスをするにあたって、情報漏えいについて、4つのポイントにまとめてみました。
1、「侵入される」ことを前提とした対策が必要
業務に関する件名で送られてきたメール、そのメールの添付ファイルを開かなければ、ハッカーの使うメール攻撃は、全て防ぎきれるわけではないと思います。実際、全省庁でメール攻撃に対する訓練がおこなわれた際、1割がメールを開いてしまったことが報告されています。
攻撃者は、より巧妙に業務メールとして攻撃をおこなってきます。
巧妙化が進むことによって、被害が大きくなる可能性も高まります。セキュリティレベルを上げることも大事ですが、入り口で全ての攻撃を防げるわけではないので、侵入されることを前提とした対策を考える必要があります。
中小企業の我々にできることと言えば、できればインターネットができるパソコンと、個人情報を扱うパソコンを分けましょう。個人情報を扱うパソコンは他のどのパソコンからでも操作できないように設定すべきです。
こうすれば、メールによる攻撃では、個人情報を持ち出せないようにあります。パソコンを分けたからと言って安心してしまってはダメです。フラッシュメモリなどからもウィルスに感染するケースもあるからです。
2、侵入されても「気づけない攻撃」、外部からの苦情などで初めて明るみに出る
年金機構のケースでは、侵入に気づいたのは外部からの指摘だったことが発表されていました。これは、メール攻撃で侵入されても自主的には気づけなかったというわけです。
メールによる攻撃で侵入されたケースにおいて、早期に「侵入」に気づくことはあまり期待できmせん。結果として「外部からの問い合わせや指摘」によって初めて侵入されたことに気づくケースが多いです。
理由は、侵入されてもはっきりとそうだと分かるような現象が起きることは最近のウィルスやハッカー攻撃では少ないからです。侵入されても素人では全く気づけませんから、侵入された場合の対策を事前に立てておくことがものすごく重要ということです。
3、業務の効率化が被害につながる。事前の対策がリスクを減らす
この年金機構の事例では、本来のマニュアルどおりの作業プロセスではなく、業務の都合によって個人情報を簡単にアクセスできる場所に置いていたことが確認されています。業務の効率化を考えれば、アクセスできない場所に個人情報を置いておくのは不便と思ってしまいます。
私たち中小企業は、セキュリティの観点から、できるだけ個人情報は別のパソコンを用意して、そこで管理するようにしましょう。メールやインターネットができないパソコンを用意するのです。
4、最終的な被害は甚大、企業や業種を問わないサイバー犯罪
サイバー攻撃は、大手企業のホストコンピューターから、中小零細企業のウェブサイトまで、企業の大小や業種を問わず攻撃してきます。目的はさまざまですが、個人情報やクレジットカードの番号、ウェブサイトのセキュリティ情報など、一旦流出してしまうと、どれも甚大な被害をおよぼすようなものばかりです。
今回、年金機構の受けた攻撃を自分の会社のことと捉えて、自社の持つ情報資産を流出しない対策を考えておくべきです。
まとめ
年金機構が受けたサイバー攻撃から私達中小企業ができることは、まず個人情報などの重要な情報は、インターネットがつながっていないパソコンで保管すること。業務の都合上、メールやネットができるパソコンには重要な情報を置かないこと、これだけでかなりの攻撃が防げるのではないかと思います。
100%防げる方法はないと思いますが、日々の心がけによってセキュリティは上がると思います。
日々気をつけていきましょう。
