日本年金機構の情報漏えい、本当に必要な再発防止策とは？

日本年金機構の情報漏えい、本当に必要な再発防止策とは？：「事故前提」で早期発見、早期対処の仕組み作りと文化を 日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。 直

[JULY]

「標的型攻撃メールを開いてしまったとしても、その当人が責められるのではなく、迅速に報告できる文化を醸成することも必要ではないか」情報セキュリティに限らない。無限責任追及の弊害。

[pmakino]

「定期的なログ解析や監視を含むセキュリティ運用がなされていなかったように見える」<そうかな? もしそうだとしたら、感染後数時間で検知・隔離なんてできなかったと思うけど

[iwasiman]

難しい話ですが納得の内容です。人を責めるより、攻撃がありえる前提で被害を軽減できる仕組みが必要なんですね。

[deloreanmc12]

開いてしまうことを前提にもしもの時にはそれを早期に発見し正しくアクションできる仕組み作りが大切。標的型攻撃メールを開いてしまったとしても当人が責められるのではなく迅速に報告できる文化も必要

[kaiton]

NAS等にそのデータが保存されるのは、差込、ラベル印刷など基幹システム外のEUC的な使い方で必要だった？基幹システムを別PCにしてもOfficeやプリンターは外のPCが使いやすいと推察/暗号化も感染PCからだとどうなる？

[deep_one]

ICカードをセットしないと復号化されない暗号化ファイル管理システムとか企業向けに市販されてるから、その辺を導入すると良いんじゃない？いちいちパスワードうつより簡単で安全。高いけど。

[kitone]

“たとえ攻撃を受けても被害を受けにくくする対策だ”。仰るとおりだなあ。