サイバーテロは防げない

2016年のサイバーテロは1281億件発生しました。毎年驚異的にサイバーテロは増えています。

サイバーテロを防ぐためには

1.セキュリティーを強化します。

2.社内体制の整備(日常の訓練と体制の見直しと強化が必要です。)

3.サイバーテロ保険に加入します。

 


まずは、サイバーテロ保険を検討しよう!

<サイバーテロ保険の基本>

1.情報漏えいの発生原因

①サイバーテロ(不正アクセス) 

②社員など内部の犯罪 

③システムミスによる漏えい等

社員など内部の犯罪とシステムミスによる情報漏えいは、下記のベネッセコーポレーション事故事例でご確認ください。

日本年金機構は、社内のセキュリティー設定ミスにより損害が拡散しました。下記事故事例でご確認ください。

 

2.サイバーテロ保険の補償内容概略

システム復旧費用や被害者への賠償損害を補償、弁護士費用や訴訟費用等を補償します。

また、他人への情報漏えい及び漏えいの恐れががある場合、システムやプログラムの提供先への損害も補償します。

3.諸費用を補償します。

お見舞金、事故対応時の通信費、人件費、外部業者への委託費用、お見舞い品等

4.情報システム復旧費用

サイバーテロ再発防止のためセキュリティ費用、情報機器復旧費用、データ・プログラム復旧費用、ソフトウェア―購入費用も含みます。

5.営業喪失利益を補償します。

営業中止に伴う喪失利益を補償します。

 

<サイバーテロBCP>

 セキュリティー強化とサイバーテロ保険で防衛します。(サイバー保険参照)

 セキュリティ診断サービスを提供します。

 

関係法令

 1.不正アクセス行為の禁止等に関する法律

 平成29年7月個人情報保護法が改定されました。詳細解説はこのページをクリックしてください。

 2.改定個人情報保護法の解説

 改定個人情報保護法では、「個人情報取扱事業者」が新たに追加されています。この「個人情報取扱事業者」は、個人情報データベースなどをその事業活用に利用している者全員が当てはまります。取り扱う個人情報が5,000人分以下の事業者へも適用されるため、今まで適用除外になっていた中小企業、個人事業主、フリーランスも当てはまりますので注意が必要です。基本的に個人情報に含まれるものは、「氏名・生年月日・住所・電話番号・メールアドレス・クレジットカード情報・銀行口座情報・顔写真・防犯カメラデータ」でしたが、今回の改正で新たに、「指紋認証・顔認証データ・パスポート番号、免許証番号・端末ID・機器に関する情報」も個人情報に含まれます。また、取扱配慮が必要なものは、「病歴・犯罪歴・被害歴・人種・信条・社会的身分」の情報が含まれます。もちろん、個人を特定できるマイナンバーも、個人情報になります。

 


直近のサイバーテロに関するニュース

これが実体か! ネット・ITニュースから 2017年7月21日

セキュリティ担当者にとって「完璧な防御は不可能」は当たり前、一般にはまだまだ浸透していない。防御偏重の対策意識を変える方法はあるのか。

 

個人組織を問わずセキュリティーの脅威がもたらす様々な被害が毎日どこかで発生しています。

「セキュリティ対策をしているのになぜこんな目に合うのか」、現実の状況は、「セキュリティ対策では脅威は防げない」のが真実です。今のセキュリティ担当者の常識の事実は、一般に人にはあまり認識されていません。今回の講演者NTT データサイバーセキュリティ統括部長嶋田浩明氏は、講演の中で「専門家が思っているほどには、一般にはセキュリティの現実が知られていない。」と指摘しています。

(講演から) 

社長は分かってくれない。

現在の企業や組織では、特にサイバーセキュリティが経営課題の一つに位置付けられるべき重要なテーマとなっています。脅威によって発生する膨大な個人情報などの流出、あるいは社会を支える重要なシステムの障害といった被害は、その影響が極めて大きく、被害者はもちろん、当事者となる組織の存亡にもつながりかねないリスクとなっています。

現場を支える担当者にとって、サイバーテロなどは、追い風になっているはずですが、実際には「セキュリティの予算増加が認められない」「対策をしてもなかなかしてくれない」といった状況に悩む日々が続いています。~~

 

現在のサイバー攻撃は、ほとんどの場合、複雑なプロセスを伴っています。嶋田氏は、「現在のセキュリティ対策のトレンドは、「防災」ではなく「減殺」」に移行すべきと話し、脅威による被害が起きることを前提に、いかに軽微なものにとどめられるかという考え方にシフトさせる必要があるとの認識を提示しました。

 

途中省略しました。

 

 

情報漏えい事故事例

学校のサイバーテロ

 事故 情報はここから⇒   ※直近の大学における情報漏えい事故情報

 

コインチェック580億円サイバーテロにあう。(平成29年1月26日)

ベネッセコーポレーションの個人情報漏えい

2014年7月10日日本経済審部記事によるとベネッセコーポレーションの情報漏えいは次のとおり報道されました。

ベネッセホールディング傘下ベネッセコーポレーションは各種通信講座「進学ゼミ」の顧客情報760万件が漏えいした。最終2070万件に至る可能性があるというものでした。

漏えい内容は、子供と保護者の氏名住所・電話番号など

(情報の持ち出し)

ベネッセホールディングスの別会社シンフォームの業務委託先元社員による売却目的にデータの抜き取りをした事故でした。手口は、シンフォームがデータベースで保管していた個人情報をUSBケーブルで自分のスマートフォンに転送、得た情報を3社に売却したもので情報量2億1639万人にでした。(確定4,858万人)

 

(システムの仕組みと管理状況)

①業務用PCからサーバーへアクセスした場合ログが記録されます。又通信料が一定基準を超えた場合担当部長にアラートが送信されるシステムでした。→アラート未設定

②データの外部メディアへ持ち出し禁止にしていました→一部のスマートフォン、メディア制御できない欠点がありました。

③データベースへのアクセス都度承認が必要→1度承認後は無制限にアクセス可能でした。

④個人情報漏えい時は抽象化・属性化するシステムはなかった。

 

(責任所在と情報軽視)

発生した原因の報告書には次の通り経過報告がありました。

①情報漏えい対策は講じていたが2重3重の対策をしていなかった。

②情報セキュリティをグループ全体の統括責任者不在、統括管理部署もいなかった。各部署でも責任の所在が不明確であった。

③組織再編が累犯に行われたので引き継ぎもなかった。

④シンフォームは子会社であり、情報セキュリティの維持・向上に十分な役割を果たせなかった。

⑤役員間に存在した「情報セキュリティは高い」との思い込みが、万全な体制構築を妨げた。

 

ベネッセコーポレーションは60周年を目前にしていたが、前社長福島副会長と明田最高責任者が引責辞任しました。

被害者には図書券500円を配りました。

 

 ベネッセコーポレーションから届いた「情報漏えい事故」の

 連絡状

日本年金機構へのサイバー攻撃対応の失敗

2015年6月2日ニッ本経済新聞は年金情報125万円流出の報道をしました。日本年金機構は1日サイバー攻撃を受け約125万件の年金情報が流出し、基礎年金番号と氏名が含まれ、内2万5千件は氏名住所が含まれていると発表しました。学術機構の職員を装った電子メールにウィルス付きの案内状が添付され開封した職員が伝染しランシステムの共用サーバーに保管していた年金情報がごっそり盗まれたものでした。

今だ「攻撃型メール」による不正アクセスはますます高度化し、2017年日本経済新聞によれば、IoT機器被害が増え1281億件の報告があり実態は更に多いと報道しています。

 

(事件の発端と拡散)

「厚生年金制度の見直しについて(試案)に対する意見」のメールが1台のPCに送られた。職員は躊躇なくダウンロードし開封した。NISCから不審なメールが届いたと連絡を受け抜線を行った。しかしインターネットは他のPCと繋がったままであった。(インターネットの遮断なし)6月18日99通の不審メールが個人アドレスに送られ、数名の職員が開封感染PCは31台になった。

 

(対策)

職員の教育を行い、標的型ウィルスを間違って開かないように訓練することが大切です。開いてしまった場合は事後の対策が重要になります。

情報セキュリティは、情報リスクアセスメントを徹底し研修を行う必要があります。