2019年7月1日にサービス開始された7pay（セブンペイ）が、大変なことになっています。このサービスは、セブンイレブン店頭でスマートフォンのアプリ画面を店員さんに見せ、QRコードを機械で読み取ってもらうことで買い物ができる決済サービスです。お金は、あらかじめクレジットカード、デビットカードでチャージしておいたり、店頭で現金をチャージしたりすることができます。

もともとセブンイレブンは、nanacoという電子マネーを運営しています。これは、非接触型のICカードをタッチして支払いできるものです。nanacoがあるので、7payを改めて開始する必要はないようにも思うのですが、この決済サービスを広く活用してもらい、グループ各社や外部企業に利用してもらうことが想定されていました。

（出典：「セブン＆アイ経営レポート」2019年6月26日発行）

不正利用

そのようなわけで7月1日に始まったサービスですが、翌日2日夜には不正利用された旨の書き込みがSNSにされはじめ、3日には大きな騒ぎになってしまいました。7payでは、お金をチャージするためのクレジットカードをあらかじめ登録しておくことができます。これを悪用されて、勝手に高額をチャージされた上に、セブンイレブン店頭でその金額を使って、換金性の高いたばこ等を大量に購入されたと報道されています。

4日14時からは、7payを運営する株式会社セブン・ペイの社長等による記者会見が開催されました。その質疑応答についても当事者意識に欠けていたり、ITおよびセキュリティについての認識が低かったりといった指摘がされている状況です。

不正利用についての経緯等は、piyokangoさんがまとめてくだっていますので、そちらを参照することがおすすめです。

セブン＆アイのデジタル戦略への影響

不正利用されてしまった原因としては、7payの前提となる7iD（セブンアイディ）のパスワード再発行プロセスに悪用される脆弱性があったことと言われています。この7iDは、これまでセブン＆アイのグループ内で散財していた顧客情報を統合把握できるようにするためのものとなっています。ここに脆弱性が見つかったことで、セブン＆アイ全体のデジタル戦略も見直しが必要ではないかと思います。

（出典：「セブン＆アイ経営レポート」2019年6月26日発行）

セキュリティマネジメントの改善

7月4日の記者会見では、一定のセキュリティ対策は実施している旨の説明がなされました。具体的な内容は不明ですが、「セキュリティ審査」を実施しているようです。しかし、話題となっている脆弱性の内容を見る限り、発見できなくてもやむをえないレベルではなく、かなり基本的なレベルでの対策が実施されていなかったように思えます。「セキュリティ審査」の実効性向上や、第三者によるセキュリティ診断を社内で義務付けるなどのセキュリティマネジメントに関する改善が必要です。

重大事故対応時の心得について

重大事故対応時の心得について、宮坂学さんのnoteがとてもよく、対応時に参考になると思います。特に、「食い物と睡眠も復旧対策」というのは、あまり表には出てこないけれど全くその通りで、さらなる事故を引き起こさないように休憩も事故復旧のひとつとして考えておく必要があります。https://note.mu/mmiya/n/n746eb2e36f81

Windowsの暗号化機能であるBitLockerについて、暗号化状態を確認する方法のリンクメモ。

• BitLockerの暗号化状態を確認する方法について | Ask CORE
• XTS-AESが漸く使えるようになったのでBitLockerについておさらいしてみた。 – ひねもす庵

別のところから漏えいしたID・パスワードのリストを使い、新規登録機能で使えるIDを絞り込んだうえで攻撃してきた事例。

• 対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃（IT Pro）

この会社では、しっかりと監視していたからこそ気づくことができ、対応できたのだろう。

なお、リスト型攻撃ではパスワードスプレーという手法もあって、こちらはなかなか気づけない。

• パスワードスプレー攻撃を正しく理解しよう（orangeitems’s diary）

個人情報漏えいの疑いについて、群馬県前橋市が設置していた第三者委員会の報告書が公表されました。

なお、事案の詳細は、piyokangoさんがまとめられています。

報告書の「第５　終わりに」に記載されている内容がなかなか良いです。以下に抜粋します。

今回は「影」の部分の問題点が露呈したわけであるけれど，「光」の部分に関する問題がなかったのかについても同時に検証すべきであると考える。つまり，「光」と「影」の両面で，MENETの改善・拡充がさらに効率的に実施できる方法はないのかを継続的な情報システムの企画・設計・構築・運用のサイクルの中で検証し続けて行く必要があると考える。

（略）

本報告書で扱った，本事案における目に見える被害に対する対応と再発防止策の実施は当然進めなくてはならないものであるとともに，以下のような目にみえにくい被害を防ぐことにも留意することも肝要である。

１　セキュリティ上の脅威を避けるために，現在失われている児童生徒に向けての教育の機会

２　MENETのこれまでの活動に根ざす，先駆的でもリスクを取って児童生徒の利益のためであれば積極的に動くという伝統の喪失

問題点

さて、前橋市の事案では、どのような問題があって情報漏えいにつながってしまったのでしょうか。大きく分けると、市の教育委員会側と、委託事業者側の問題点がそれぞれ記載されています。

• 教育委員会
  • MENET（前橋市の教育ネットワーク）に対する組織としての理解不足
  • 組織としての担当業務および人員配置における配慮がなかった
  • セキュリティの重要性の認識不足
  • システムの管理体制が確立されていない
• 市のセキュリティ監査対象外となっていた
• 委託事業者
  • 市教委からの情報が不明確であることに起因して、セキュリティ上の問題が放置されていた

どうやら、管理主体が複数あって、全体を把握している組織がなかったようです。その結果、教育委員会が管理しているサーバの通信要件が、委託事業者に伝わらず、必要なアクセス制御が行われていませんでした。

再発防止策

第三者委員会では、以下の再発防止策を提言しています。

1. 情報システムの企画・設計・構築・運用を担える体制づくり
2. 市全体としてのセキュリティ施策徹底
   • 教職員のセキュリティ意識向上への取り組みへの関与
   • 市のシステム全体のセキュリティ監査の実施体制
3. MENET情報セキュリティポリシーの改訂
4. MENETの運用を強化

体制づくりが最初に挙げられています。今回の事案では、そこが大きな問題点だったのでしょう。

2018年6月15日に閣議決定された未来投資戦略2018では、自動運転や人工知能、ビッグデータを活用して、新しい社会を目指すというものだ。つまりは、デジタルトランスフォーメーションを促していくということである。

これが進められるときには、当然ながらサイバーセキュリティにも配慮していく必要がある。また、サイバーセキュリティを理由に、デジタルトランスフォーメーションが進められないことは問題で、そうならないようにしなければならない。

最近、マイクロソフトが「デジタルトランスフォーメーションを加速するセキュリティプラットフォーム」というリリースを出していて、興味深く読んだ。

2018年6月7日に、「政府機関等の情報セキュリティ対策のための統一基準群」（統一基準）の改定案がパブリックコメントにかかりました。統一基準は、2年おきに改定されていて、前回改定は2016年（平成28年度）でした。

一言で言うと、今回の改定は、あまり大きな変更を伴うものではありません。
ただし、サイバーセキュリティ戦略案では観点の１つとして「リスクマネジメント」が明記されていて、その点が統一基準においても強められそうです。

今回は、大きく４点の方針が示されています。

1. 将来像を見据えたサイバーセキュリティ対策の体系の進化
   • ふるまい検知等のエンドポイント対策
   • IT資産管理ソフトウェアの導入
   • DRM/IRM機能によるデータ保護
2. 政府機関等のサービスの利用者の側に立った対策
   • Webサイトの常時SSL化
   • メールのサーバ間暗号化
3. 政府機関等の自律的な能力向上への誘導（PDCAサイクルの効果的運用）
   • 情報セキュリティ対策の運用における課題をCISOに報告
   • CISOから改善事項を指示
   • 「情報セキュリティ対策推進体制」を定義
4. 業務形態に対応した規定の整備
   • 独立行政法人等の業務形態への柔軟な対応

IT資産管理ソフトウェア、IRM機能などは、組織内に全面展開するのはそれなりに大変そうです。
ふるまい検知は導入するだけであれば簡単ですが、検知した後の対応体制も整備しておく必要があります。

日立グループのレポート「サイバー攻撃事案の教訓と社内堅牢化の取り組み」が面白かったので、メモ。

2017年5月のWannaCry感染を受けての、教訓と対策について整理されている。

教訓は以下の通り。

1. 社内ネットワーク構成のあり方
2. 24時間稼働のサーバにおけるセキュリティ対策の不徹底
3. パッチ適用が困難なIoT機器
4. 災害対策のIT-BCPとサイバーセキュリティ対策のIT-BCPの差異

詳細は、レポート本編を参照。

教訓から、６つの対策を進めているとのこと。

1. サイバー攻撃を想定したBCP設計
2. 事業リスク分析に基づいたITでの対策
3. セキュリティパッチ強制適用
4. IT責任者の管理範囲・権限の見直しによる一元管理体制構築
5. セキュリティマネジメントのグローバルガバナンス
6. IoTセキュリティガイドラインの制定

グローバルに展開する企業において、参考になるのではないかと思う。

• ISACA東京支部
• デジタル・フォレンジック研究会
• 日本クラウドセキュリティアライアンス（CSAジャパン）
• 日本セキュリティ監査協会（JASA）
• 日本セキュリティ・マネジメント学会（JSSM）
• 日本ネットワークセキュリティ協会（JNSA）

日本政府のサイバーセキュリティ戦略本部の会合が、６月７日に開催されました。今回の会合の結果、政府統一基準群の改定案と、サイバーセキュリティ戦略の改定案が、パブリックコメントにかけられています。

• 「サイバーセキュリティ戦略（案）」等に関する意見の募集について
• 「政府機関等の情報セキュリティ対策のための統一基準群」の改定（案）に関する意見の募集について

「サイバーセキュリティ戦略」は、サイバーセキュリティについての日本政府の最上位の計画です。この戦略に基づいて、様々な施策が実施されていくことになります。

サイバーセキュリティ戦略の、今回改定の主な観点としては、３点挙げられています。

1. サービス提供者の任務保証
2. リスクマネジメント
3. 参加・連携・協働

任務保証とは、聞きなれない言葉ですが、サイバーセキュリティ戦略改定案では以下のように記載されています。

「任務保証」とは、企業、重要インフラ事業者や政府機関に代表されるあらゆる組織が、自らが遂行すべき業務やサービスを「任務」と捉え、係る「任務」を着実に遂行するために必要となる能力及び資産を確保することである。

リスクマネジメントは、組織がそれぞれの目的に応じて、サイバーセキュリティ対策をしていくために不可欠な取組です。具体的には、それぞれの組織の目的達成に対するセキュリティリスクを特定・分析・評価して、許容可能な程度まで抑えることが大事です。ただ、言うは易しで、具体的にどうすればリスクマネジメントできるか、なかなかわかりにくいところがあります。

参加・連携・協働は、セキュリティによる被害を防ぐために、各組織や個人が力を合わせて取り組むことです。毎年２月１日～３月１８日はサイバーセキュリティ月間ですが、広告では「サイバーセキュリティは全員参加！」って言ってますよね。

統一基準改定の概要については、別途整理したいと思います。