マイナンバー・ICTが拓くセキュアで豊かな社会

山口 利恵

第14回 カフェ発 ランサムウェア再び 対策遅延で被害が甚大(後編)

NEWICT

2019.05.17

第14回 カフェ発マイナンバー・ICTが拓くセキュアで豊かな社会

ランサムウェア再び 対策遅延で被害が甚大(後編)

『自治体ソリューション2017年5月号

情報漏洩防止には暗号化が適切かどうかの見極めが必要

 ある日の午前中、都内文田区にあるカフェデラクレ(Café de la clé)。あまり混んでいない店内で、常連の竹見が株式会社トランホーンの社員の来訪を受けていた。最近、社内システムがランサムウェアにやられ、ECサイトの顧客情報が漏洩した危険性があるとのことだった。

* * *

「どういう対策を考えているのかね。」

 大学を定年退職した竹見が、トランホーン社員の道場に尋ねた。

「ウイルス対策ソフトの導入などの一般的なセキュリティ対策ぐらいしか弊社の能力では思いつかなくて。」

「いや、普通はそうだろう。そこをきちんとしたのであれば、今回の被害にあったとしても正直に話せば良かったんだが。」

「いえ、それがちょうどマシンの更新をする予定で、ウイルス対策ソフトの定義ファイルを更新していなかったのです。」

「定義ファイルに入っていない最新のウイルスで今回の被害が起こったと?」

「それが、全て暗号化されているのでよくわからなくなっておりまして。」

「仕方ない。だとすれば、今回の発表はどうやっても間に合わないだろう。」

「その通りでして。我々が思いつく対策が十分かどうかわからないまま発表した場合、どういう批判を受けるのかが予想がつかず、あまり状況を公開したくないという声が社内にあるのです。」

「中途半端に隠すのはよくないよ。そういうことも含め、ちゃんと発表しよう。原因は専門家チームによって調査中、というしかないね。対策については、詳細は今後検討だが、私のところに来ているところからみると、やる気はあるようだから、そこだけは伝えた方が良いね。」

「対策を早急にするべき、個人情報を毎回、暗号化することなども必要なのではと、社内では意見が出ております。」

「業務上可能かどうかをよく確認したほうが良いよ。一見、暗号化というのは聞こえがいいのは事実だけれどね。よくあるケースとしては、業務プロセスを確認しないまま対策を定めてしまって、著しく業務を妨害してしまうようなことだよ。その挙句、繁忙期に現場が決められた対策を実行できなかったために、漏洩などの事故が起こる。現状の御社の業務において、毎回の暗号化が適切かはちゃんと考えた方が良いよ。」

「なるほど。」

 道場が頷いた。

「こういうことは君だけじゃなくて他の人にも伝えよう。伝える機会はもらえるのかね。」

「はい、もちろんです。そういう場にご出席頂きたく思っておりますので。」

ウイルス対策費用は惜しまずに

「業務プロセスの話はとても重要だよ。それに加えて、データのバックアップやクラウド化を考えることもしたほうが良いだろうな。」

 今後のスケジュールなどを話し、道場と同席していた唐沢は帰って行った。

* * *

 その後、トランホーンの情報漏洩について事故の経緯などの発表がなされた。多少の批判は出たものの、ユーザの個人的な金銭的被害が出ていなかったこともあり、それほど大きくならなかった。

 カランカラン♪

 アルバイトの大学生、絵美が入口に目を向けると、スーツ姿の男性が入ってきた。

「豊原先生。」

 絵美が1年生の時に、情報の講義を担当していた豊原だった。

「お、緑川さん。ここでアルバイトをしているのかね。」

「はい、そうなんです。お一人ですか?」

「いや、ここに知り合いの先生が来るはずなんだが。」

「竹見先生ですか?」

「あ、知っているんだね。そうそう。竹見先生と待ち合わせをしているんだ。」

カランカラン♪

 ちょうど、竹見が入ってきた。

「竹見先生、いらっしゃいませ。」

 絵美が声をかけた。

「お、豊原君、早かったな。待たせたかな。」

 竹見は豊原に気づいた。

「いえいえ、ちょうど来たところです。」

 二人はカウンターに座った。

豊原は、コーヒーを一口飲むと、竹見に向かって口調を変えた。

「先日のトランホーンの件なのですが、原因がまだわからないのです。もうちょっと調べてはみますが。」

 豊原は、竹見の指名でトランホーンの事故対策チームに選ばれていた。

「仕方ないかな。どちらかというと、僕は今後の対策の方が気になるな。」

「えぇ、安全対策をした上での業務プロセスですよね。議論をしまして、個人情報の不要なアクセス等を減らすことにしました。よくある話ですが、古いシステムが中途半端に残っていたようで、全て新しいものに移行してもらいました。」

「古いシステムを使っていた人はいなかったのかね?」

「確かに使っている人はいたのですが、実は一人で、その一人に対して新しいシステムを教える体制を整えたようです。」

「うん、ありがちだな。」

「その古いシステムのウイルス対策ソフト費用を出し惜しんだようです。他はちゃんとしていたようですので、そのあたりが原因じゃないかと。」

 豊原は、他にも調べたところを竹見に説明した。

「そろそろ調査した内容も公開しようかと。」

「そうだね。僕もそろそろだと思っていた。」

「ただ、社内で対策が不十分だったと批判を受けないかという話になっているようです。」

「隠す方が批判を受けるのは間違いないよ。犯人に身代金を渡したのも含め、今回は高い勉強代にはなったが、反省すべきは反省して、きちんと対処すべきだよ。」

 竹見はもう一度コーヒーに口をつけた。

この記事をシェアする

特集:改正個人情報保護法全面スタート

マイナンバーマガジン 月刊 自治体ソリューション2017年5月号

2017/05 発売

ご購入はこちら

すぐに役立つコンテンツ満載!

地方自治、行政、教育など、
分野ごとに厳選情報を配信。

無料のメルマガ会員募集中

関連記事

すぐに役立つコンテンツ満載!

地方自治、行政、教育など、
分野ごとに厳選情報を配信。

無料のメルマガ会員募集中

  • facebook

山口 利恵

山口 利恵

東京大学大学院情報理工学系研究科ソーシャルICT研究センター特任准教授

2003年津田塾大学理学研究科数学専攻修士課程修了。2006年東京大学大学院情報理工学系研究科博士後期課程修了 博士(情報理工学)、独立行政法人 産業技術総合研究所 研究員。内閣官房情報セキリュティセンター員兼務を経て2013年から現職。主な研究テーマである「ライフスタイル認証・解析」に関する各種講演やセミナーの登壇者として、また、「Society5.0を見据えた個人認証基盤のあり方懇談会」構成員を務めるなど、多方面で活躍中。

閉じる