セミナーレポート

情報セキュリティWS in 越後湯沢2013が開催

過去最高の参加者を記録するなど注目が集まる

2013/11/21

 2013年10月11日~10月12日に「情報セキュリティワークショップ in 越後湯沢2013」が行われた。今年の越後湯沢WSのテーマは「考える情報セキュリティへのステップ」。サイバー攻撃や情報漏洩に関する対応などについて様々な講演が行われ、2日間で過去最高の334名の参加者を記録するなど、関心の高さをうかがわせた。

会場が埋め尽くされた越後湯沢WSの様子
会場が埋め尽くされた越後湯沢WSの様子

サイバー攻撃の変遷


 日本マイクロソフトの高橋正和氏は、ウイルスを使ったこれまでのサイバー攻撃の流れについて講演。インターネットが普及する以前は愉快犯が目立ったものの、インターネット上で金銭が動くようになると、「営利目的」で情報そのものを狙う手口が増えるようになったと指摘している。


 また、高橋氏はこれまで大きな被害のあったウイルスの1つとして2003年5月に発生したSobigの亜種を紹介した。これは送信者のアドレスが「support@microsoft.com」となっており、マイクロソフトからのサポートを装ったウイルス。感染すればコンピュータのアドレス帳にあるメールアドレスに、自身のコピーを添付したメールを送信するといったもの。米国の物流企業大手のフェデックスやコーヒーチェーン大手のスターバックスに甚大な被害を与えている。


 高橋氏はWindowsがバージョンごとにウイルス対策を強化してきたことも強調した。Windows XPの時代には、無償のCD‐ROMを量販店と全国の郵便局に発送し新しいアンチウイルスソフトをアップデートする手法をとり、さらにファイアウォールをデフォルトでオンに設定するなど、増大するワームを想定した対策を施してきた。


IPAの取り組み


 IPA(情報処理推進機構)の大森雅司氏は、標的型攻撃の動向について講演した。標的型攻撃は2011年以降、企業だけでなく国家間によるサイバー攻撃でも頻繁に見られるようになるなど、一段と激しさを増している。日本政府も対策を強めており、内閣官房情報セキュリティセンター(NISC)が情報システムの設計・開発・運用などに関する取り決めである「リスク評価ガイドライン」を制定。IPAでもそれを元にした「標的型メール攻撃に向けたシステムガイド」を2013年8月29日に出版している。


 このシステムガイドには、攻撃者がどのような攻撃を仕掛けてくるかについて被害を受けたベンダーに直接ヒアリングを行い、それに基づいた対策が記述されている。


 例えば「ユーザ端末と管理運用端末とのネットワークを分離する。これで、ユーザ端末の1つが不正なプログラムに感染しても管理運用端末が乗っ取られないようなネットワークの構成にすることができる」というものや、「Active Directoryのような重要なサーバへのアクセスを特定の端末に制限することで、被害を最小限に食い止められる」といった内容が書かれている。


 大森氏は自分たちの業務を阻害しない範囲でITを最大限に活用することで、攻撃者が内部に侵入しても、自由に活動させないシステム設計が大切だとした。

日本マイクロソフト 高橋正和氏   IPA研究員 大森雅司氏
日本マイクロソフト 高橋正和氏   IPA研究員 大森雅司氏

マイナンバー法案に関する講演


 また、内閣官房社会保障改革担当審議官の向井治紀氏は2013年5月に可決した「共通番号(マイナンバー)法案」について解説した。共通番号法案は、社会保障と税の共通番号の成立を目的に、民主党政権時から推進されてきたものだ。個人の情報を複数の機関で照会できる基盤をつくることが狙いだ。


 共通番号法案の施行により、自治体が住民に対して個人番号を発行し、通知カードで番号を知らせる。また「氏名」「住所」「生年月日」「性別」「個人番号」等の情報をICチップに記録し、それを埋め込んだ個人番号カードを交付する。法人に対しても国税庁が法人番号を発行し、通知することになる。


 発行された個人番号は、社会保障の分野では、年金の資格取得や確認・給付を受ける際に、また税の分野では税務所に提出する確定申告などの申請書に利用する。向井氏は、法律施行後1年後の2017年に、行政機関などがもつ自分の個人情報を確認することができる「マイ・ポータル」の存在についても触れた。 


 一方で向井氏は役所のセキュリティ意識がまだ十分ではないとしたうえで番号制度でもシステム上の安全措置を考慮し、アクセス制御を厳密にしていかなければならないとしている。


 また向井氏は、第三者機関である特定個人情報保護委員会についても言及した。同機関は2014年上半期の設置を予定しており、番号制度の適正な運用について検討するのが目的。今後の個人情報保護法の動向次第で、マイナンバーだけでなく「個人情報」の取り扱いを決める機関になる可能性もあり、関心が高まっている。

内閣官房社会保障改革担当審議官
向井治紀氏   神戸学院大学教授 赤堀勝彦氏
内閣官房社会保障改革担当審議官
向井治紀氏
  神戸学院大学教授 赤堀勝彦氏

リスクの移転策としての保険


 近年では企業で情報漏洩が発生した際に、リスクの移転策として保険を利用する企業も増えている。神戸学院大学教授の赤堀勝彦氏は「個人情報漏洩のリスクマネンジメント」について講演を行った。


 個人情報漏洩事件が起きた場合、事業者には損害賠償責任が発生する。その際、損害賠償以外にも謝罪広告や、お詫び状の郵送が必要となる。さらに適切な対応がとられなければ、「顧客を軽視し、コンプライアンスの低い会社である」という認識が社会に広まり、自社の信用が大きく悪化してしまう。加えて顧客の離反や株価の低下など様々な面で経営に悪影響を及ぼす可能性が出てくる。


 赤堀氏はこうした情報漏洩事件の対策手段として、個人情報漏洩保険があることを紹介した。これは事業者が負担する賠償金や様々な費用を補償することによって、事業活動を支援するといったもの。具体的には訴訟に応じるための弁護士費用から、謝罪広告や詫び状の郵送に関する費用などの損害を補償。保険料の算定にあたっては、会社の規模、取り扱う個人情報の件数から査定を行う。またプライバシーマークなどの公的な認証も査定に加味されるという。


 一方で赤堀氏は、「保険はリスク移転策として有効と考えられるが、情報漏洩のリスク全てが保険で補償されるわけではない」と説明。個人情報を取り扱う企業は、個人情報保護対策を積極的に行い、単に法律を遵守するだけではなく、企業理念に根差した活動を行うことが大切だと定義付けた。


 今年の越後湯沢WSは参加者にキャンセル待ちが出るなど、例年以上に盛り上がりを見せていた。内容もサイバー攻撃、番号制度、保険など多岐にわたっており、充実したシンポジウムとなっていた。

(山下雄太郎)

【セミナーデータ】

イベント名
:情報セキュリティワークショップ in 越後湯沢2013
主催   
:NPO新潟情報セキュリティ協会 ほか
開催日  
:2013年10月11日~10月12日
開催場所 
:湯沢町公民館(新潟県南魚沼郡湯沢町)

【関連カテゴリ】

情報セキュリティ