先にイセトーのランサムウェア攻撃による情報漏えいについて、イセトー側のサイバーセキュリティに対する杜撰さとその後の対応の不備について問題視しました。特に情報開示については改善を求め、その批判を教訓とすべきと書きました。さらに非難すべき、そして改善すべきはサイバーセキュリティに対する体制です。

情報開示

本年5月29日の第一報はランサムウェアの被害を受けたという単なる報告であり、情報漏えいを含めて被害の内容については何らの報告もなく、一週間も経った6月6日の第二報および7月3日の第三報に至っても情報漏えいの可能性があるとの内容だけで何ら第一報と変わりはありません。その後、9月2日にはISO27001認証及びISO27017認証＊の一時停止という事実上の認定取り消し処分を受けたとの報告を挟んで、発生から四か月以上経った10月4日に最終報告とみられる「不正アクセスによる個人情報漏えいに関するお詫びとご報告」が公表されています。第一報以降、詳細はともかく、被害についての内容は6月6日以降でもほとんどなく、最近まで五月雨式に委託元の真の被害者（組織）からの公表が続いていました。その委託元にも第二報、第三報当時は情報漏えいの可能性については伝わらず、その可能性は低いという連絡が多数だったのです。委託元の多くが自治体という公共機関であり、その情報が国民の情報ということから情報公開は必須と考えられ、それも迅速性が求められて然るべきと考えられます。にもかかわらず漏えい元のイセトーからの報告がほとんどないということは問題であったと考えるべきでしょう。

＊ISO27001は、情報セキュリティ管理システム（ISMS）に関する国際標準規格。ISO27017は、ISO27001の枠組みに基づいて、クラウドサービスの利用に特化したセキュリティガイドライン規格

最終報告

10月4日になって公表された報告では、ランサムウェアの被害に遭った原因が簡単に述べられています。短い文章を読む限りは「VPNからの不正アクセス」とし、イセトー側の運用および管理不備については一切述べられておらず、「VPNが悪い」という印象を与えています。VPNが悪いのではなく、VPNの管理運用を怠ったイセトーが原因です。さらにはVPNが必ずしもそのランサムウェア攻撃の主役ではなく、イセトー内部のネットワークでのセキュリティ体制の問題です。たとえVPNが突破されたとしても、内部のセキュリティ体制が万全であれば大きな被害とならなかったはずです。また漏えいした個人情報の悪用についても、今後大きく危惧される問題です。しかし、ランサムウェア攻撃を行ったグループのリークサイトが公表した漏えいデータ、正確には漏えいデータのダウンロードサイトが消滅したことで、その可能性が小さいような印象を与えています。漏えいデータ自体は数多くコピーされていることが通例で、悪用される可能性は何ら低下したとは言えません。

再発防止策

イセトーが今後、安心かつ安全な業務を継続するために最も重要なことは、ランサムウェアを単に防ぐことだけではなく、今回の情報公開の不手際や事業継続を含めた、再発防止策を定め、それをしっかりと実行することです。しかし報告書に書かれている内容は、今まで指摘されたイセトー側の不備、失態を改めるという宣言、しかも順守して当然のルールに対してのみです。イセトー側が考えるべきはVPNにすべての原因があるような対策、つまりVPNを使用しないというような対策ではなく、根本的な、そして意識や考えを含めた改革と言ってもいいほどの改善です。情報セキュリティに関する教育とルール遵守に関する研修を行うとのことですが、それが目的ではなく、経営人を含めた意識改革が必要です。