セキュリティブログ
【産総研/不正アクセス】産総研情報システムに対する2月不正アクセスに関する報告まとめ
2018.07.21
国立研究開発法人産業技術総合研究所(産総研)さんから7月20日、2月の同研究所情報システムへの不正アクセスについて、被害状況や原因、対応策を取りまとめた詳細報告書が発表されています。
2月~3月と1か月ほどネットワーク遮断の対策がなされた事案です。
※以下、産総研さんリリースページ以下の、PDF報告書より抜粋
2.3. 情報漏えいの状況
不正なアクセスにより、
① 未公表の研究情報 120 件
② 共同研究契約等に関する情報 約 200 件
③ 個人情報を含む文書 約 4700 件
④ 全職員の氏名・所属
⑤ 143 アカウント分の電子メール及び添付文書
等が、外部へ漏えい又は閲覧された可能性がある。ただし、これらには機密性3情報(秘密保全の必要性が高く、その漏えいが国の安全又は利益に損害を与えるおそれがあるもの、研究所の業務及び利益に重大な損害を与えるおそれがあるもの等)は含まれていない。
情報漏えいに関係する外部機関等へは、本事案の経緯を説明し謝罪した。5. 再発防止のために今後取り組む対策
上記要因を踏まえ、既に応急的対策は実施したが、今後更に以下のとおり再発防止策を講じる。
〇 多要素認証の導入
メールシステム及び内部システムのログインに、多要素認証を導入する。
〇 内部ネットワークの分離と監視強化
研究用ネットワークと業務用ネットワークを分離するとともに、内部通信の監視を強化する。
〇 パスワードの設定方法等の運用ルールの見直し
有効なパスワードの設定方法や、重要情報の管理、情報端末の管理等について、運用ルールを見直し、職員に周知徹底する。
〇 外部委託の運用改善
最低価格落札方式から総合評価落札方式へ切り替え、より能力の高い業者を選定するとともに、一括契約によって外部委託事業者の数を減らす。
〇 組織体制の見直し
CISO(Chief Information Security Officer:最高情報セキュリティ責任者)の下に、情報セキュリティ対策部署を明確に位置づけて、不正なアクセスへの対策を強化するとともに、各研究部門にセキュリティチームを設置し CSIRT(Computer Security Incident Response Team)との連携によって情報セキュリティリスクの低減を図る。
〇 事業継続計画の見直し
情報セキュリティインシデントの深刻度に応じた事業継続計画及び緊急時対応計画を立案する。
※ここまで
報告書を見ての考察なんですけれども、完全に狙われているなあ、といった印象です。
もちろん、「量子暗号技術」という方法論も対応策として存在し、今後中央官庁や安全保障分野での実装は進んでいくでしょうが、攻撃手法や攻撃箇所はいくらでもあるので(例えば人的な諜報等)、防御する側としての限界はどうしても存在します。
パスワード強化や認証強化、内部監視とともに、やはり「大切な情報はオフラインに」あるいは「分散保管」が、面倒くさいですけれども、現在は堅い方法論かと思料するものです。
これら「面倒なセキュリティの為の組織内対策」や「面倒なデータ保管・バックアップ方法」をできるだけ自動化・簡略化させたサービスをつくりたい、と考えております。「こんなセキュリティサービスが欲しい」といったご意見について、お気軽に当社までお願いできますと幸いです。