来年もそのまた先も… (2018/12/27 セキュリティレポート)
2018年も年の瀬となってまいりました。
この一年も国内外を問わず、様々なセキュリティインシデントやセキュリティにまつわる話題がありました。
この1年間のニュースを振り返ってみると、コインチェックの仮想通貨流出事件から始まったように感じられますが、後に公表されたきっかけは従業員宛の標的型メール攻撃によりマルウェアに感染したことが明らかにされており、取っ掛かりの手口としてはここ数年の流行にそのまま乗ったものだったというのも意外と印象的です。
一方で、セキュリティに携わる人材が不足していたことを自ら認めていましたが、もう少し広い視野で見た時に経営層の意識としてそういった方面への投資を重視していたら、また違うシナリオもあったのではないかと思うと、やはり会社全体としてのセキュリティ意識の持ち方次第で防げた可能性のある事件だったと思わざるを得ません。
海外に目を向けると、今年はFacebookやGoogleでも個人情報の流出が明らかになっており、一般的にはセキュリティ意識が高いと思われていた企業ですらこのような問題が断続的に起きたというのは、如何にセキュリティ対策を継続していくことが難しいのかを物語っているのかもしれません。
ただ「GAFA(ガーファ)」(Google、Apple、Facebook、Amazonの4社の頭文字をつないだ造語)が流行語大賞にノミネートされたように、これらの企業に情報を預ける(握られる)こと自体がそもそもリスクであるという認識が起こり始めたという潮流は、来年以降も注視が必要でしょうし、これらの巨大企業の「意識」がどのようなものなのかや変節しているのかという点も気になるところです。
再び国内に目を向けると、セキュリティとはやや逸れますが、多くの組織におけるコンプライアンスやガバナンスが注目された1年になりました。
文書改ざん問題に揺れた財務省もそうですし、日本体操協会・日本レスリング協会・日本ボクシング連盟・日本相撲協会・日本大学アメフト部などのスポーツ分野ではいずれも暴力やハラスメントの問題に揺れ、日産自動車を巡る一連の問題は年を明けてもまだ続きそうです。
いずれの事例を見ても、根底には「権限の集中とバランス」の問題があり、もちろんそれが適切に成立していたり、特定の個人に集中したとしてもその人物の意識の持ちよう次第でより良い方向に展開した可能性もあります。
冒頭のコインチェックの話もそうですが、「組織が組織として」きちんとしていることがその組織にとって如何に重要なのかというのは当たり前の事実なのでしょう。
では個人レベルではどうなのでしょうか?
ここ数年の相変わらずではありますがリスト型攻撃が猛威を振るっているという話題が印象的でしょうか。いわゆる「ダークウェブ」ではあらゆるサイトから流出したIDやメールアドレスとパスワードのペアが流通していると言われ、それを利用して不正にアクセスするという事案は何件も発生しました。
他方、パスワードの定期変更を不要とする考え方が徐々に広がりつつあったり、いくつかのサイトではパスワードの使い回しを控えるような呼びかけがされるようになったのもこの1年の大きな変化と言えるかもしれません。
「パスワードの流出の可能性」を前提にしなければならないというのも悲しいところではありますが、こうして個人レベルでの意識の高さが醸成されるような流れは歓迎すべきと言えるかもしれません。
結局のところ、セキュリティに対する脅威もその防護策も日々高度化し、進化していくのは今も昔も変わりません。
必要なのは組織としても個人としても、常に最新の動向に注意を払いながら、高い意識を持ち続けなければならないということなのかもしれません。
- 関連記事
- 同意なき情報収集の代償としての信頼
- 有名企業を装い偽サイトへ誘導、横行するフィッシング詐欺に注意!
- セキュリティ人材とは何か?
- 情報処理安全確保支援士制度とサイバーテロ
- 医療機関等がサイバー攻撃を受けた場合、厚労省医療技術情報推進室へ連絡を―厚労省
