情報漏えい3つのポイント 6月セミナー開催報告

平成30年6月25日(月)に、横浜情報機器株式会社主催のセミナーを開催させて頂きました。


今回のセミナーは、品川駅から徒歩2分のAP品川にて、情報漏洩の事例についてクローズアップした内容で開催致しました。企業が負う金銭的被害の事例や、情報漏えい発覚後に企業がするべき対応、またRAT(遠隔操作ツール)やキーロガー(キーボードの入力が全て記録されるツール)を使ったデモンストレーションを実施致しました。

第1部では情報漏えいした際にかかる被害金額の種類について株式会社ブループラス鈴木社長より、損害保険の仕事を通して得た経験を元に具体的なお話をして頂きました。1つめは重要情報を管理する方法がずさん、重要情報の持ち出し、重要情報の紛失が発生し、社員のご家族から訴訟を起こされた建設会社のケースを。2つめは重要情報にもランクがあり、賠償金額も違うということが漏えい後に判明し、顧客から訴訟を起こされた美容業の会社のケースを。3つめは顧客情報が外部に漏えいし、顧客から訴訟を起こされた呉服屋のケースを通して、全てを解決するまでに、どの項目で、どのくらいの金額がかかったかということをお話しして頂きました。またサイバーセキュリティ保険へ加入する際に、実施していると大きな割引を受けやすいポイントについてお話しをして頂きました。

第二部では弊社代表が、インシデントレスポンスの際に、お客様先に伺った際に、準備するツールや、そのツールを使用し、どんな情報を得る為に、何をするのかお話しさせて頂きました。その中で、得た経験や、感じたことを元に注意するべき点をお話しさせて頂きました。


実際に漏えいした大学の情報漏えい事例を発生から終息まで時系列に沿って説明を致しました。PCがメールによりウイルス感染し、発覚まで6カ月を要したこと、発覚から終息までさらに6カ月弱を要したことをお伝えさせて頂きました。このケースは感染してすぐに外部へ通信が始まったこと、発覚した時にはすでにほとんどの情報が漏えいしていたと思われます。また初動対応でのつまずきから学ぶべき点があるということで、外部業者へ調査依頼をしたのが発覚から29日後だった点、報告内容の確認に27日費やした点、公表した順番が自らではなく、外部の新聞での発表が先になってしまった点、また発表までに131日掛かった点について、掘り下げていきました。

それに対して、インシデント発生から終息まで早かった企業の事例を用いて比較をさせてもらい、予めインシデントが発生したら、いつ誰がどこにどの様な連絡をするのか明確にする為に、インシデント対応ガイドラインが必要だということを呼びかけました。

また事例の中で登場した遠隔操作をイメージしてもらう為に、「RAT(Remote Administration Tool)」と2台のPCによる情報漏洩を想定したデモンストレーションを行いました。

事例と同じ様にメールの添付ファイルを実行することによりRATが実行され、攻撃者(PC-1)から遠隔操作が開始されました。(PC-2)に保存されている重要情報を盗む様子、その後キーロガーを使用しパスーワードを盗む様子、最後にRAT自体を消去し、痕跡を消すという一連の流れを実際の環境で見て頂きました。その際に通信を監視する仕組みがあれば、PC-2からPC-1へファイルをダウンロードする際に発生する通信で何かしらの異常を検知することができた可能性、検知できていれば、また違った結果になったのではないかということも付け加えました。RATやキーロガーの怖い点として長い期間、遠隔操作を実行されていると、メールの文面を入力したり、パスワードを入力したり、様々なキーボードの操作が、全てキーロガーによって記録される点が非常に怖い点です。

最後に平成29年11月にver2.0が発表されたサイバーセキュリティ経営ガイドラインの中から、認識しておくべきポイントについてお話しさせていただきました。その中のひとつである脆弱性への対応について、お話しをする中で、情報システムの担当者様が苦労している点として、「脆弱性情報の把握」、「アプリケーションの存在と、バージョンの把握」をした後に、情報を突き合わせて「緊急度が高いのがどうかの判断」をし、「パッチ適用計画」、「告知、実施要請」をしても最終的にその結果が不明だったりと把握することが非常に難しい点をお話し致しました。手動で実施することが担当者様の負担になっている企業が多いので、比較的、安価で運用しやすいツールがあるので簡単に触れさせていただきました。また脆弱性を分かりやすく認識してもらう為に、弊社で提供しているプラットフォーム脆弱性診断で成果物として提出するレポートの一部を参考資料として用意しました。


いずれにしてもセキュリティ対策を実現するための手段として、いくつかある選択肢のひとつとしてセキュリティ機器の導入があります。しかしセキュリティ機器の導入自体が目的となり、その後の運用、PDCAについて考慮されていないケースが非常に多かったこと、技術的対策は充分だけど、それに比べて、組織的対策や、人的対策がおろそかになっているケースに触れる経験があったことが、このお話をするに至った背景でした。お忙しい中、お集まりいただきました、各企業の皆様におかれましては心より感謝申し上げます。また弊社は社内向けのセミナーや、業界団体向けの研修も開催しておりますのでお気軽にご相談ください。
UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop