ペンタセキュリティシステムズ(ペンタセキュリティ)は6月8日、「韓国から見た日本年金機構の個人情報漏えい事件を語る」と題するコラムを掲載。先日の日本年金機構の情報漏えい問題をセキュリティ企業の観点から解説した。

この問題では、日本年金機構の年金情報の管理システムがハッキングを受け、125万人の個人情報が漏えいしており、日本の公共機関としては最大規模の流出となった。

コラムでは、今回の事件を語る上で欠かせない「アンチウイルスソフト」「ネットワークセキュリティ」「データベースの暗号化」について以下のように解説している。

アンチウイルスソフトは対策にならない

問題の発端となったウイルスが見つかった際、日本年金機構は外部の管理会社から「情報を漏えいできるようなウイルスではない」と報告を受けたため、ウイルス対策の更新以外に特別な対策をしなったという。その結果125万人に個人情報が流出する事態となった。

今回の事件では、アンチウイルスソフトが役に立たなかったのが実情だ。アンチウイルスソフトに欠陥があったわけではなく、防ぐことができない攻撃手法であった。

アンチウイルスソフトは、実行したプログラムを既存のウイルスの情報リストとマッチングさせ、リストに載っていればブロッグする。逆に考えれば、リストに載っていないプログラムは原則、ブロッグできない。コラムでもアンチウイルスソフトは「新米のハッカーによる攻撃に対する対策としては、十分有効だろう」と裏を返せば、高度な攻撃には即座に対応できないことを指摘している。

ネットワークのセキュリティ対策で済む問題ではない

最初にウイルス感染した福岡支部のパソコンは、ネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認された。このことから攻撃手法は「ネットワークセキュリティにおける階層の脆弱性を利用した」と解説している。

Web経由での代表的な攻撃は、1次攻撃と2次攻撃に分かれる。1次攻撃は、標的の内部ネットワークへの潜入を試み、一方の2次攻撃はネットワークおよびシステムの支配を試みる。1次と2次の攻撃が成功することで攻撃者が狙うデータを取得できる。今回の事件でいうなら攻撃者の目的は個人情報の取得である。

今回の事件は1次攻撃の手段はEメールを利用し、添付ファイルを開封したときに感染したとされている。ネットワーク用のセキュリティ製品の多くは、Webを介して転送されるEメールやWebコンテンツを監視対象にすることができない。

コラムでは、「コンテンツはネットワークのL7(OSI 7レイヤによる分類)にてその『正体』が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できない」と指摘している。L7を監視するには「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の必要性があると訴えている。

単なるデータ暗号化では、十分ではない

コラムでは、日本年金機構はなぜデータを暗号化していなかったのか疑問視している。「国民の個人情報を扱っている機関として恥を知るべく」と指摘しているように、国家機関の対応として簡単に許されることではない。個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていくなどの特段の措置を取る必要があるという。

今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合が出てくる。

まず、なりすまし防止への対応と、多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。

システムを安全に守るためには、「データ暗号化プラットフォーム」が重要であると述べている。暗号化技術は、個別のシステムだけでなく、ICTシステム全体に適用する必要があるためだ。プラットフォームの導入は、暗号化のコア技術を保有する専門会社に相談することを推奨している。