まったなし!情報漏洩対策セミナー【三和コムテック】|サイバーセキュリティ.com

まったなし!情報漏洩対策セミナー【三和コムテック】



某芸能人のLINEデータ流出がメディアを騒がせている今日、「スマホのセキュリティ対策ってどうなってるの?」と、疑問に思われた方も多いのではないでしょうか。マイナンバー制度も施行が開始されたばかりですし「個人情報漏洩」は今や身近な問題となってきています。

そんな“漠然とした心配”を取り除くべく、三和コムテック様主催の情報漏洩対策セミナーに参加してきました!

韓国の現状から学ぶ!日本のマイナンバー制度に必要なセキュリティ対策とは

第1セッションは、韓国セキュリティ企業の草分け的存在である、ペンタセキュリティシステムズの陳貞喜氏。韓国におけるマイナンバーである「住民登録番号」の制度開始の背景から、現在の問題点、そこから考える日本マイナンバー制度の注意点についてのお話でした。

混ぜるな危険!「識別情報」「個人情報」「認証情報」

img_seminar-report_20160127-01

ペンタセキュリティシステムズ株式会社/陳貞喜氏

まず、韓国の住民登録番号制度の開始が1968年だったということに驚きました。制度開始の目的は“北朝鮮のスパイかどうかの判別”という社会的背景からだそうです。

その目的の通り“本当の韓国人かどうか”が分かれば良いので、“いつ・どこで生まれたか”等の個人情報が住民登録番号自体に組み込まれています。

しかもカードには顔写真入りで、現住所も載っている!…これは危ないでしょ。と、セキュリティ知識の乏しい私でも一瞬で分かりました。落としたらアウト!誰でもなりすましが出来てしまいます。

もちろん1968年当時は、現在当たり前となっているシステムのオンライン化、WEBの発達などを予知できるはずもなく、制度開始から半世紀が経った現在、韓国では住民登録番号の悪用による様々な問題・事件が起こっているとのことでした。

ここで改めて考えなければいけないことが、「識別情報」「個人情報」「認証情報」はそれぞれ独立した情報でないといけない!ということです。

そもそも3つの違いは?

識別情報 「この人は誰か」を表すもの、情報自体に意味をもたせてはいけない
個人情報 個人的な情報、生年月日や現住所など
認証情報 「本当に本人か」を表すもの、パスワードや身体的特徴など

韓国の住民登録番号の問題点は、「識別情報」である番号自体が「個人情報」であり、さらに「認証情報」としても利用されてしまっているということです。番号さえ入手してしまえば、あらゆるサービス・システムを別の誰かが本人になりすまし、利用する事ができてしまうのです。

では日本のマイナンバーはどうか?

日本で始まったマイナンバー制度。番号自体は、国民一人ひとり全く異なる12桁の数字です。(法人は13桁)

この番号は識別のみに利用されるもので、本人かどうかの認証作業が別途必要となります。もちろん、番号自体に個人情報との関連性もありません。ということは、番号が割り振られた現段階では、危険性は全くありません。

しかし、今後、様々なサービス・システムとの連携が進んでいくに連れて、危険度は上がります。この“危険度が上がる”という情報だけを鵜呑みにして、マイナンバーの制度自体を否定する意見も多々ありますが、マイナンバー制度は利便性の向上や、公平な社会実現において、必要不可欠な制度であり、非常にメリットが多いのです。

では「マイナンバー」の唯一最大のデメリットである「情報漏洩の危険」をどのように防ぐのか?のお話です。

セキュリティ対策は「トータル」が鉄則!

マイナンバーのセキュリティを考える上で重要な点は、割り振られたマイナンバー(=識別情報)を「認証情報」として使用しないということです。極端な話、マイナンバーが流出したとしても「認証情報」さえ守られていれば、なりすまし等の問題は起こりません。

そして、「認証情報」であるパスワードは別途管理されていないといけません。さらに、別途管理するうえで暗号化などの対策が必要となります。(認証情報の「暗号化」は韓国では法律化されているそうです)

企業等がセキュリティ製品の導入を検討する際も、必要なセキュリティプログラムが全てトータルで作られているものを選択する事が重要です。暗号化からアクセス制御、監査までの全ての対策を行うことで初めて「セキュリティ対策」と言えるのです。

しかし、「万全なセキュリティ対策」は永遠に続くというわけではありません。攻撃側の技術進化により、いとも簡単に崩されてしまう恐れがあるのです。

攻撃は進化する!対策も進化すべし!

1997年に創業したペンタセキュリティシステムズは、韓国におけるセキュリティ分野の技術進化に伴い、“時代に合ったセキュリティ製品”を作り続けているそうです。

1980年代 アンチウィルスソフトの普及(サイバーセキュリティブーム到来)
1990年代 サーバシステムに対するセキュリティ(ネットワークレベルの対策)
2000年代 データ保護(アプリケーションレベルの対策)
2010年代 クラウド保護(仮想空間レベルの対策)

このように、攻撃側の侵入領域が年々拡大していることが分かります。

一度セキュリティ対策を施したから大丈夫と、安心している企業は多いのではないでしょうか。しかし、それは大きな間違いです。サイバー攻撃が存在する限り、セキュリティ対策に終わりはないのです。

特に今回のテーマである「マイナンバー」を企業が保管するということであれば、侵入から攻撃までの各段階を、それぞれ何重にも守る鉄壁のガードが必要となるのです。

まとめ

第1セッションから非常に勉強になる内容でした!韓国の住民登録番号制度における「情報混用問題」は、2015年に起こった年金機構の基礎年金番号流出事件で日本も経験済みですので、同じことを繰り返すことなく、マイナンバーが国民にとってメリットの大きい制度として広く運用される事を願います!

情報漏洩は入り口と出口で防ぐ!SCTが提供する究極のセキュリティ対策とは

第2セッションは、今回のセミナー主催社である三和コムテック株式会社の柿澤龍介氏。世界中で起こる情報漏洩問題の実情と、それに対する企業での脆弱性診断の必要性、製品紹介についてのお話でした。

攻撃にかかるコストを上げれば、ハッカーは攻撃しない

img_seminar-report_20160127-02

三和コムテック株式会社/柿澤龍介氏

近年世界中で、サイバー攻撃による大規模な情報漏洩事件が起こっています。複数の詐欺グループによる広域的なサイバー攻撃は、犯人の特定が非常に困難なため、長期にわたり侵入・攻撃が行われていたという事例も多く、世界的に深刻な問題と言えます。また、アメリカでは社会保障番号(アメリカにおけるマイナンバー)の流出により甚大な被害が発生しているそうです。

そして、情報漏洩を起こしてしまった企業側の被害も無視できません。2015年、東京地裁は情報漏洩が起きたECサイトの開発ベンダーに対し、瑕疵担保責任があるとして、2,262万円の損害賠償請求を認めました。

この様な深刻な被害を生むサイバー攻撃に対抗するため、私たちは“ハッカーが攻撃したくなくなるような“鉄壁のガード”を早急に作る必要があります。そのガードを崩すために多くの労力(コスト)が取られるのであれば、ハッカーは自ら攻撃をしなくなるのです。

では、具体的にどのように鉄壁のガードを作ればよいのでしょうか。

守るべき情報は入り口と出口で徹底的にガードせよ!

セミナーを実際に受講した私は、この“情報の「入り口」と「出口」での徹底的なガード”というコンセプトが非常に頭に残りました。

第1セッションでもあったように、攻撃は日々進化します。その攻撃に対抗する為には、セキュリティ対策ソフトを常に最新バージョンで使用するとともに、システム自体に穴(脆弱箇所)がないか、継続的な診断・復旧を繰り返す必要があります。この「脆弱性の診断~復旧の管理」が、情報漏洩の入り口対策として非常に有効です。

そして、出口対策としては、こちらも第1セッションで何度かお話にあった「情報の暗号化」や「アクセス監視」が必要となります。近年では必要最低限(カラム単位)での暗号化が可能になるなど、技術革新が進んでおり、これらもハッカーに対して攻撃コストを上げる有効手段と言えます。

このように、侵入から攻撃、情報の入手に至るまで、幾度となくガードが現れる企業に対して、ハッカーは攻撃を行いません。守るべき情報は「入り口」と「出口」で徹底的にガードしましょう!

まとめ

三和コムテックでは、情報漏洩の「入り口」「出口」対策に非常に有効なセキュリティ製品を数多く展開されています。

特に印象に残ったサービスとして、脆弱性診断サービス【SCT SECURE SWAT】があります。この製品は、市場で最も正確な究極の脆弱性診断(管理)サービスといわれているそうです。自動・手動診断のメリットを兼ね備えた【SCT SECURE SWAT】は、日々進化するサイバー攻撃から私たちを守るため、常に脆弱箇所がないかを調べ、補ってくれるのです。

そばで見守り、攻撃されやすい脆弱箇所がないかを探して、補強してくれるなんて…最強のボディガードですね!

「サービス連携・利便性UP」は危険だらけ!?スマホのセキュリティ対策について

第3セッションは、個人的に一番興味のある、「スマートフォン」のセキュリティ対策について。

携帯電話を「電話に色々な機能がプラスされたもの」と認識している方が多いですが、スマートフォンはもはや「パソコンに電話機能がプラスされたもの」です。そう考えると、もちろんセキュリティ対策が必要ですよね!

利便性と危険性は表裏一体

img_seminar-report_20160127-03

三和コムテック株式会社/取締役 柿澤浩介氏

スマートフォンの所有率は、個人・法人ともに年々増加しています。特に法人利用の増加率が高く、MM総研が行った2015年版調査では、法人企業が利用する端末全体におけるスマートフォン比率が、3年後には52%にもなるとの調査結果が出ました。

業務の効率化、利便性という点を考えれば当然の結果と言えます。外出先でのメール・資料のチェックや、ビジネスフォンサービスとの連携など、メリットは数えられない程あるのではないでしょうか。

また、法人利用増加の理由として、導入時の最大の懸念となっていた「ウィルス感染」「端末紛失による情報漏洩」などの“セキュリティへの不安”を解消する、ウィルス対策ソフトやMDMソフト等の普及も挙げられます。

しかし、第1セッションから一貫してお話があったように、“利便性と危険性は表裏一体”ということを忘れてはいけません。スマートフォンに数多くインストールされている「アプリケーション」からの情報漏洩事件が、近年増加しているのです。

スマホアプリの危険性について

smartphone

ゲームやチャット、カメラ、通販サイト…星の数ほどの「アプリ」が、世界中で制作、使用されています。セキュリティプログラムが十分に備わったアプリも多く存在しますが、全てが安心というわけではありません。

2015年5月、アメリカ最大のコーヒーチェーン「スターバックスコーヒー」のモバイルアプリから顧客情報が抜き取られ、クレジットカードや銀行口座からお金が盗まれるという事件が発生しました。また、2016年1月にはロシアで、セキュリティの弱い無料アプリ約200万個の中に「トロイの木馬」といわれるハッキングツールが仕掛けられ、アプリ使用者の個人情報が大量に流出してしまいました。

なぜこのような、“セキュリティの弱いアプリ”が存在するのでしょうか?それは、アプリのセキュリティ対策は、その開発者に委ねられているからです。もちろん、一定のガイドラインを策定しているプロバイダーもありますが、予期せぬ脆弱性をハッカーに狙われてしまうことがあるのです。

アプリ開発には多くの人が携わります。また開発に掛けられる費用も決まっています。その中で、“便利なもの”“おもしろいもの”を開発するため、様々な機能、サービスとの連携が行われていきます。しかし、何度も言いますが、「利便性と危険性は表裏一体」です。アプリのサービス機能が向上するにつれて、その危険性も向上するのです。

では、数多く存在するアプリの「脆弱性対策」はどうすればよいのでしょうか?

数年後には当たり前になっているであろう「スマホの脆弱性診断」

ここで、「スマートフォンはパソコンに電話機能がプラスされたもの」ということを思い出してみましょう。
そう、スマートフォンもパソコンと同じように、「脆弱性診断」を行うべきなのです!

  • 利用しているスマートフォン内に、脆弱箇所はないか。
  • インストールしたアプリは安全か。
  • アップデート後に脆弱箇所が発生しないか。

常に自動で診断を行い、セキュリティの弱い穴を見つけ、修復してくれる「スマートフォンの脆弱性診断サービス」は、現在のスマホ時代になくてはならない製品といえるでしょう。

まとめ

このお話を聞いた後、思わずスマホ内のアプリの数を確認…仕事柄ある程度はセキュリティを意識していた私でも、アプリインストールの際には更なる注意が必要であるという事がわかり、第3セッションのお話は非常にショッキングでした。

三和コムテックが近日リリースされるスマホ用脆弱性診断サービス「Appvigil(アプヴィジル)」はAndroid・ios対応で、アプリに対して自動診断を行うと共に、APIというアプリの裏側の診断まで行ってくれるそうです。私たちユーザーへの安心の提供はもちろん、アプリ開発者への支援という意味でも活用可能な素晴らしい製品ですね。

セミナーを終えて

今回のセミナーのタイトルにある通り、情報漏洩問題は“まったなし”の状況ということがよくわかりました。しかし、「情報漏洩」が怖いからといって、マイナンバーも、パソコンも、スマートフォンも手放す!なんてことは現実問題不可能です。

便利な世の中を受け入れて、楽しんで、問題から逃げるのではなく、攻める!「攻めの防御」が大切だ!と、改めて感じた1日でした。


SNSでもご購読できます。