Skip to main content Skip to Footer

LATEST THINKING


Gove tech

デジタル時代の自治体イノベーション

行政機関におけるサイバー時代のセキュリティ対策

続発するサイバー攻撃

5月12日に発生した新種のランサムウェアWannaCry(WannaCrypt)により世界150か国以上で被害が出ているというニュースが駆け巡った。日本ではテレビのニュースなどで知ったという方も多いのではないだろうか。今回の事案は、これまでにない大規模同時攻撃であったことや、特に欧州の医療機関などでコンピューターが次々と使えなくなり、医療現場が大混乱に陥ったことなどにより、ニュースの注目度が高かった。 このようなサイバー攻撃は、いつでも起こりうる。今回は、行政におけるサイバー・セキュリティ対策について、ポイントとなる3つの観点を取り上げる。

「 侵入されることを前提」としたセキュリティ対策──「攻撃の連鎖を断ち切る」

10年ほど前はファイアウォールの導入などによる「防御」セキュリティ対策が主流だったが、もはやそれだけでは標的型攻撃の対策としては不十分である。標的型攻撃とは特定の組織をターゲットに行われるサイバー攻撃で、PC、ファイルサーバ、ネットワーク等の各レイヤーの脆弱性を利用しながら、侵入、バックドア構築、マルウェア感染拡大、サーバ侵入という「攻撃の連鎖」により外部への情報漏えいにつなげる(図1参照)。

行政機関は個人情報等の様々な機密情報を取り扱っているため、攻撃された際の被害の影響範囲が広くなりやすいうえ、現在のサイバー攻撃は、高度化、巧妙化していて、「防御」だけでは防げない。攻撃を受け、かつ「侵入されることを前提」として、いかに被害を最小限に抑えるかというセキュリティ対策を検討することが求められる。特に、標的型攻撃の全ての連鎖に対策をするのは現実的には難しく、標的型攻撃のいずれかの段階で「攻撃の連鎖を断ち切る」ことができれば、攻撃が次の段階に進むことを阻止できる可能性が高まる。

「侵入されることを前提とした対策」とはどのようなものか。侵入されることを前提に、組織内ネットワークから外部ネットワークの疑わしい通信をブロックする出口対策ソリューションを導入することで、攻撃の連鎖の最後の鎖を断ち切ることが実現可能となる。また、あえて攻撃を受ける「ハニーポット」と呼ばれる疑似システムを用意し、そこに攻撃を集中させ、重要なシステムを攻撃対象から外すことで、攻撃の連鎖を止めるという対策も考えられる。

個別の業務システムや、ネットワークだけでそれぞれセキュリティ対策を実施するのではなく、各システムを横断で見て、組織のシステム全体に対する「攻撃の連鎖を断ち切る」セキュリティ対策の検討が必要となる。

図1 標的型攻撃の段階攻撃

標的型攻撃の段階攻撃

システムを利用する職員やシステム担当者もセキュリティを構成する要素

セキュリティ対策を検討する際は、システムを「データベース」「アプリケーション」「仮想化」などの階層構造に分解し、それぞれの層に合わせた対策を検討する。ここで重要なのは、ITシステムの利用者も、セキュリティを担保するための重要な要素ととらえ、技術的な対策だけでなく、「マネジメント」「ID・権限管理」「セキュリティ運用」そして「情報システムの利用」という観点からもセキュリティを考えることである(図2参照)。

独立行政法人情報処理推進機構によると、標的型攻撃は地方公共団体、大学、病院、報道機関など幅広い業界に対して行われている可能性があり、実際に複数の組織で標的型攻撃の被害が見つかっている(「情報セキュリティ白書2016」)。また、端末に個人情報を保存する際には、暗号化やパスワードの設定を定めていたが実施されていないことで被害につながったケースもあったようだ。

機密情報を含むファイルに常に暗号化やパスワードを設定しておけば、万が一外部に送信された場合でも、情報漏えいを防ぐことができるが、システムの利用者がルールを破りパスワードのない状態でファイルを保管しておくと、情報漏えいにつながりやすくなる。システム利用者もセキュリティを担っている1要素である認識を強く持つことが極めて重要だ。

図2 多層防御によるセキュリティ

多層防御によるセキュリティ

イレギュラーケースをなくしガバナンスを確立させる

セキュリティ対策の見直しではリスク分析の4ステップを回していくことが肝要だ。
①取り扱う情報資産の洗い出し
② 情報資産の利用状況と発生しうるセキュリティ上の脅威を識別
③実施するセキュリティ対策の洗い出し
④セキュリティ上のリスクを評価

4ステップを回すにあたってカギとなるのは、①と②でイレギュラーケースを含めて網羅的に情報資産を把握し、どのように使っているか明らかにしておくことだ。そうしないと、③や④の検討が無駄になってしまう。

イレギュラーケースとは、例えば、ファイルサーバ上に個人情報の含まれたファイルの配置が禁止されているにもかかわらず、システム間連携用のデータ出力機能を使ってデータを例外的にExcelで保存しているような場合である。また、役職者が退職後に嘱託職員となるようなケースで、同じアカウントをそのまま利用させ、本来はく奪するべき権限をはく奪せず、役職者同等の権限が付与されたままになっているようなことも考えられる。これらは十分にセキュリティインシデントの温床になりえる。

本来は、こうしたイレギュラーケースなしに業務が回るのが理想であるが、業務システム、ネットワーク、ファイルサーバ等がそれぞれ個別に導入・運用されている状況や、組織上のガバナンスが希薄な状況ではこのような事象を根絶するのは難しいと推察される。

最新のサイバー攻撃は、高度化、巧妙化し、利用者の盲点を突きながら、業務システム・PC・ファイルサーバ・ネットワーク等の様々な脆弱性を探して攻撃を仕掛けてくる。行政においては、各システムおよびシステム利用者も含めた横断的なセキュリティ対策を検討するにあたり、行政機関特有の固定的かつ予定的な長期にわたる調達プロセス(機動的な対応が困難)や、潤沢とは言い難い人員・予算・権限の中で最新動向を踏まえて継続した対応が求められる。そのための組織全体のガバナンスを確立させることが重要である。