先日、産総研の不正アクセスに関する報告書が発表されたことを受け、多くの人が関連する投稿を行っており私も簡単にツイートしました。
産総研の不正アクセスに関する報告、ようやく読みました。自分が関与していないセキュリティインシデントの報告書は、気楽だし勉強になるし最高だなと思いました() 侵入経路概略図でちゃんと①〜⑩まで番号振ってくれてるのも偉いよね。官公庁系これやらない所も多い印象。https://t.co/j0q1qmDxCz
— seko.law (@seko_law) 2018年7月21日
ツイッターではツイートアクティビティという機能があり、私の投稿を見た方々の行動をある程度追える様になっています。今回のツイートでは、「トピック自体はそれなりに興味関心が高いと思われるものの、リンク先の報告書まで飛ばれている方はかなり少ない」ということがわかりました。
「報告書は長いし、面倒だからあまり読む気にならない」という気持ちには共感します。他方、報告書に記載されている内容はまさに現実に起こった内容であり、もっと学びが共有されると良いのになと感じています。そこで、twitterよりも少し踏み込んだ形で感想を書いてみることにしました。
- 事案の概要
- 事案の経緯
- 事案からの学び
の構成にしてみます。
1.事案の概要(who/what)
被害者
被害者は産業技術総合研究所(産総研、aist)で、経済産業省所管の独立行政法人です。「これまでヒューマノイド・ロボット、次世代半導体技術開発、グリッド、情報セキュリティ、ナノテク、環境技術等で顕著な成果が上がっている」とのこと。
表面的な評価は以上なのですが、私は組織の内情を知りたい時には採用関係のサイトを結構見ています。情報の正確性に疑義は残りますが、内情を批判的に評価した情報が手に入るので気に入っています。産総研の場合、「法令遵守意識が高く働きやすい制度も整っているが、保守的・硬直的な文化にやや不満」みたいな評価が目立つでしょうか。
被害内容
外部メールシステム、内部システムが順次不正アクセスを受け、
① 未公表の研究情報 120 件 ② 共同研究契約等に関する情報 約 200 件 ③ 個人情報を含む文書 約 4700 件 ④ 全職員の氏名・所属 ⑤ 143 アカウント分の電子メール及び添付文書 等
が、外部へ漏洩又は閲覧された可能性があるそうです。
なお
これらには機密性3情報(秘密保全の必要性が高く、その漏えいが国の安全又は利益に損害を与えるおそれがあるもの、研究所の業務及び利益に重大な損害を与えるおそれがあるもの等)は含まれていない。
との記載があります。突然出てきた「機密性3情報」に面食らった人も多いと思うので補足すると、産総研における情報資産の分類は「国立研究開発法人産業技術総合研究所情報セキュリティ規程」 の第5条で定められています。本セキュリティ規程は(産総研の所管省庁である経済産業省に適用される)NISCの統一基準を元に作られているようですね。*1
*1:完全に蛇足ですが、独立行政法人のセキュリティ規定はNISCの統一基準を参考にして作られていることが多いと思います。「独立行政法人のセキュリティ規程」と「NISCの統一基準」を比較して、どの条項が落ちているか・その理由は何かを考えるのは勉強になるし結構面白いです。独立行政法人で規程を作った担当者や組織の実情・本音が見えるというか。
2.事案の経緯(why/when)
侵入目的
- 接続元は海外 IP
- 被害者は国立研究開発法人という研究開発を行う独法
- 不正アクセスは長期かつ継続的
から、愉快犯というよりは国家利益・経済的利益が目的だと想像します。流石に公式な報告書なので「こいつが怪しい」みたいな記載はありませんが、もうちょっと踏み込んだ話は聞いてみたいですね。
復旧期間
事案の発見後、直ちに、業務システムの停止とインターネット接続の遮断を行い、重要業務システムの復旧を優先させた上で、被害状況の調査と原因分析を実施した。 主要な業務システムは 2018 年 3 月 28 日までに、インター ネット接続は同年 4 月 1 日までに再開した。
とのことです。事案発覚が2018年2月6日であることから、インターネット接続は約2ヶ月遮断されていたことになりますね。業務システムの再開やインターネット接続が長期に渡ったことは、当時のFB等でも結構話題になっていた記憶です。批判というよりは驚きが多かったような。
3.事案からの学び(how/how much)
被害発生の要因
報告書の「6. 被害を発生・拡大させた要因」には、今回被害が発生する原因になったと考えられる項目が列挙されています。公開可能な報告書の記載内容だけでは評価が難しい項目もあるのですが、
内部ネットワークが広域でフラットな構成であり、研究用ネットワークと、業務用ネットワークとが切り離されていなかった。
職員に対するパスワードの設定ルールは定めていたものの、キーボード配列をなぞっただけの安易なパスワードを設定していた例があった
外部委託業者の情報セキュリティ対策の履行状況を定期的に確認することとなっていたが、本事案で問題となった一部の外部委託業者については未実施であった。
辺りはどんなセキュリティスタンダードにも類似の記載があり、皆さんも耳にしたことがある項目ではないでしょうか。いつも目にしている(そしていつも「まぁいいだろう…」と徹底できていない)項目が、「被害を発生・拡大させた要因」として多く指摘されていることはもっと認識されるべきだと思います。
損失額
これは何らかロジックを立てて試算できるようにできると、検討する報告書が増えるにつれて比較もできて面白いなと思っています。今後の課題ですね。
以上です。
今後も報告書が発表された場合には、上記3項目くらいで継続的に感想をまとめられると良いなと思っていますし、学びが多かった事案については過去に振り返って検討しても良いかなと思っています。
せっかく税金や優秀な頭脳を投入して作成された報告書ですし、もっと積極的に活用されると良いですよね。