□ 今年も残り僅かとなりました。そこで、今年1年間に起きたセキュリティ事件をまとめ、犯罪の傾向と今後の注意点について説明します。

＜2015年度 セキュリティ10大事件＞
1.日本年金機構125万件の年金個人情報流出
2.振り込め詐欺・迷惑電話被害
3.大手金融機関及びクレジットカード会社をかたるフィッシング詐欺
4.米国ソニーピクチャーズ・エンターテイメントへのサイバー攻撃
5.公衆無線LANのセキュリティ問題
6.Flash Playerの脆弱性
7.無線LANの「ただ乗り」による電波法違反容疑で全国初の逮捕者
8.ソニー・コンピュータ エンタテインメントの「PlayStation Network」にシステム障害
9.IP電話の乗っ取り
10.飲酒寝過ごし中央官庁の局長、車内カバン置き引き被害により職員連絡網流出
※資料「2015年のセキュリティ事件に関する意識調査−インテルセキュリティ(日本での事業会社はマカフィー)」

□ 昨年の第1位は「ベネッセ顧客情報大量流出事件」でした。また、「三菱UFJニコス情報流出事件」「JALマイレージ不正アクセス」「JR東日本Suica不正アクセス」「LINEの乗っ取り事件」など、企業のサイトを攻撃したものが上位にランクされていました。今年は、「日本年金機構125万件の年金個人情報流出事件」が第1位で、「公衆無線LANのただ乗り事件」「IP電話の乗っ取り事件」などが上位にランクされています。標的型攻撃やソーシャルエンジニアリング攻撃が多発しており、手口が巧妙になっている傾向にあります。

□ 対策としては、まず、インシデント対応チームを組織化し、予防、検知・分析に関するポリシーをしっかり構築することです。また、IoTによるIP接続デバイスが2020年までに2,000億台に達すると予測されていますので、在宅勤務者や家庭にあるネットワーク機器への対策も不可欠です。IoTでは、相互接続する別のデバイスに対しても攻撃が可能で、かつ、社内よりセキュリティが弱く、標的とされ易いからです。
　そして、もっとも大事なことは、侵害された後の損害賠償請求対策やIRです。“サイバー攻撃に国境はなく、システムによる防御は100%成功しない”と言われています。ネットワークエンジニアやSE、情報担当責任者に侵害時の責任を問うても意味はありません。企業トップが自らの責任で、情報技術と法的リスクマネジメントの両面から、“フェイル・セーフ（fail safe）”の設計を行う必要があります。

→LEGAL NETでは、法律、及び、所轄省庁のガイドラインを踏まえたセキュリティポリシーの設計からシステム構築までのサポートサービスを提供しております。お気軽にお問い合わせ下さい。