CHECK
01
サプライチェーン全体でのセキュリティガバナンス強化
本件は、本社ではなく海外の現地法人が侵入の起点となりました。グローバルに事業を展開する企業にとって、国内外の子会社や関連会社、業務委託先など、サプライチェーン全体のセキュリティレベルを統一的に管理・監督することが極めて重要です。各拠点のセキュリティ対策状況を可視化するための定期的な監査や、セキュリティポリシーの共通化、インシデント発生時の報告・連携体制の確立など、グループ全体を俯瞰したセキュリティガバナンスを構築し、最も脆弱な部分(ウィーケストリンク)をなくす取り組みが求められます。
CHECK
02
侵入を前提とした多層防御とゼロトラストの導入
ランサムウェア攻撃の主な侵入経路として、VPN機器の脆弱性を突いた攻撃や、フィッシングメールなどが挙げられます。 [1]従来の境界型防御だけでは巧妙化する攻撃を防ぎきれません。侵入されることを前提とし、万が一ネットワーク内部に侵入されても被害を最小限に食い止める「多層防御」の考え方が不可欠です。具体的には、アクセス権限を必要最小限に絞る「最小権限の原則」の徹底や、全てのアクセスを信頼せずに都度検証する「ゼロトラスト」アーキテクチャへの移行を検討すべきです。これにより、攻撃者が内部で権限を昇格させ、広範囲に被害を拡大させるリスクを低減できます。
CHECK
03
インシデント発生を想定した事業継続計画(BCP)と復旧訓練
今回の事案では、漏洩の可能性は低いとしながらも、対象者への通知を行いました。このような迅速な判断と透明性のある情報開示は、企業の信頼を維持する上で重要です。インシデントが発生した際に、誰が、何を、どのように判断し、行動するかを定めたインシデントレスポンスプランを事前に策定し、定期的に訓練を行うことが不可欠です。特に、データの復旧手順の確認は重要であり、オフラインやクラウドなど複数の場所にバックアップを保管する「3-2-1ルール」の徹底と、そのバックアップから実際にシステムを復旧させる訓練を繰り返し行うことで、事業停止時間を最小限に抑えることができます。
CHECK
04
データ保護の観点からの情報資産管理の徹底
約186万人分という膨大な個人情報が漏洩の危機に晒された背景には、データへのアクセスが比較的容易な状態であった可能性が考えられます。保有するデータがどこに、どのような形で保管されているかを正確に把握する「情報資産の棚卸し」を定期的に実施すべきです。その上で、データの重要度に応じてアクセス制御を厳格化したり、機密情報を暗号化して保存したりする対策が有効です。また、利用目的を終えた個人情報は適切に削除するデータライフサイクル管理を徹底することで、万が一侵害を受けた際の被害範囲を限定することができます。
