シーサートという言葉をご存知でしょうか。私は知りませんでした。
経済産業省が15年12月に策定した「サイバーセキュリティ経営ガイドライン」に記載されている、サイバー攻撃に緊急対応する専門組織を指すのだそうです。CSIRTと表記します。
個人情報の大量流出事件が相次いだことを受けて、情報リテラシーが低いとされる大手企業トップもその危機感に背中を押されて設置に動き始めているのだそうです。
背景には社員個々人の悪意で生じたことでも会社法にもとづく企業の責任が問われるようになったことと、顧客やステークホルダーから損害賠償を求める訴訟を起こされる事例が多くなっていることがあると考えます。信用失墜における企業価値の低下も見逃せません。
しかしながら、その実効性に関しては心もとないようです。現実に被害に遭ったことがなければどうしても現実的に考えられなかったり、直接利益を産まないセキュリティへの投資に躊躇するからでしょう。そのような形だけのセキュリティラインならばクラッカーにとっては障害にもならないかも知れません。
見えない脅威に対して完璧を期すのは実際には難しいのですが、少なくとも対策を怠ったとみなされないように、できるだけのことは対処しておかなければならないでしょう。そのうえで情報流出が防げなかったのであれば、認識が甘かったと言われるかもしれませんが無条件での責任追及を受けることは避けられます。
事務所の入口に完ぺきとも思えないカード認証型のセキュリティドアを設置するのと同様に、サイバー犯罪に対してもポーズでも良いので対策しておくことは必須でしょう。
それは玄関先に監視カメラのモックを据えるような空き巣対策と同等のクラッカーに対する幾ばくかの抑止力となるはずですし、ステークホルダーに対する免罪符とすることができるはずだからです。
企業サイトへの不正アクセスにより個人情報が流出したとの報道がありました。
JINSに不正アクセス 個人情報75万件流出も:日本経済新聞
最近よく聞く事件ですが流出したデータにもとづく被害があったのかどうかはあまり報道されることは無いように思います。大きくは取り上げないというマスコミ間の暗黙の了解があるのか。
この手の報道があったときには引き続きコメントしていきたいと思います。
「JINS」に不正アクセス 個人情報75万件流出の可能性 Struts 2の脆弱性悪用
上記の情報漏洩はApache Struts 2の脆弱性のよう。いくつかのサイトでも実績あり。
公正取引委員会が提供する「審決等データベース」を4/3から停止するとの報道がありました。サーバの不正利用(メールの不正送信か)があったためとのことで、再開時期は不明。
公取委がデータベース停止、サーバー不正利用で:日本経済新聞
チケット販売大手の企業で情報流出と、それによると思われる被害があったそうです。流出量が多いこと、クレジッカード情報ということ、そして流出した情報にもとづく実際の被害があったこと、どれをとっても大問題です。
過去には流出があったと思うが被害はない、という報道が多かったのですが。
ぴあ、個人情報15万件流出か カード不正利用630万円:日本経済新聞
今月3日、東京オリンピック・パラリンピックに向けてサイバー攻撃の対策を強化するため警視庁は「サイバー攻撃対策センター」を設置したとのこと。
警視庁に「サイバー攻撃対策センター」設置
警視庁がネット犯罪の検挙率アップのため「潜入捜査」を進めているとのこと。
ネットの潜入捜査とは、『ボットネットにウイルス感染させた端末を紛れ込ませ、犯人の動きを監視するのが警視庁の潜入捜査だ。』とのこと。
確かに潜入させていることになりますかね、面白い試みです。
新手法 ネットに潜入捜査:日本経済新聞