ウイルス感染は織り込み済みで対策

　通常のデスク業務でインターネットを利用せずに仕事を進めることは考えられなくなっています。ウイルス感染は“繰り込み済み”のリスクとして、求められるのは感染後の初動対応と、一貫したセキュリティ対策方針だといいます。 「まずは、重要な個人情報は外部からのアクセスから切り分けること。パスワード制限も徹底する必要があります。 　次に、1年はログ（通信記録）を残し、通常業務では発生しない通信内容が記録されたらすぐに対応すること。ハードルは上がりますが、ホワイトリスト（通常の利用内の利用を想定した設定）を作成し、違反する通信を報告すれば、かなりの精度でウイルスの感染と大規模な情報流出は防げます。 　また、もっとも重要なのは、ウイルス感染を前提とした対策シミュレーションをあらかじめ作っておき、どう行動するのかを決めて明文化しておくことと、対策の責任者を決めておくこと。感染が分かってから対策会議をしているといたずらに時間を浪費して、情報流出の被害が拡大する危険性が増します」（満永氏）

年金機構だけではない情報流出リスク

　国会での日本年金機構の個人情報流出問題に対する集中審議では、個人情報の取り扱い方法の内部規約違反をはじめ、ウイルス感染後の対策の遅れを指摘する声が多く上がりました。 　その中で、警視庁に被害を相談し捜査を依頼した2日後の5月21日に も職員端末がウイルス感染し外部と不審な通信を行っていたことが分かっています。また、インターネット遮断時期についても公表と実際の時期に齟齬（そご）があり、本問題を担当する統一したセキュリティ管理責任者の所在はあいまいなままです。 　日本年金機構は、この個人情報流出問題のお詫び通知や電話対応人員の増員などで年間50億円程度の追加費用がかかると試算しています。この金額が税で賄われることの是非はともかく、標的型メール攻撃が広く確認されている現在、情報流出時の巨額なリスクと、信用の低下について一般企業でも、対岸の火事ではないと総点検する必要がありそうです。 （タブロイド・久保内信行）

《取材者プロフィール》満永拓邦（みつなが・たくほう）　一般社団法人JPCERTコーディネーションセンター 早期警戒グループ マネージャ。京都大学情報学研究科修了後、システム会社のセキュリティソリューション事業 部を経て、2011年4月、JPCERT/CC早期警戒グループ 情報分析ライン セキュリティアナリス トに着任。重要インフラ 向けに脅威情報の収集および分析に従事。2015年4月より、現職