年金機構の情報漏えい、事故対応のミスで被害拡大と報告（2/2 ページ）

[國谷武史，ITmedia]

具体的対応ができない体制

　年金機構では情報セキュリティポリシーでインシデント対応の必要性を規定していたものの、具体的なルールなどは定めていなかったという。

　今回の事案にはシステム部門担当理事（CIO）と情報セキュリティ担当部署の部長、グループ長、担当者が対応したが、基本的な対応は担当者任せであり、CIOや部長、グループ長は具体的な対応を指示しなかった。機構理事長および最高情報セキュリティ責任者の副理事長への報告も適時行われることはなく、組織としての対応が遅れた。

　さらには、情報セキュリティ担当部署にセキュリティの専門性を持つ人材が配置されていなかったことや、機構を管轄する厚生労働省との具体的な情報共有体制にも不備があり、情報が担当者レベルでとどまるなどの問題も判明している。

　情報流出の被害が拡大した直接的な原因は、インシデント対応における機構側の不備が積み重なり、5月8日〜22日の流出を阻止する機会を何度も逃してしまったことにあるとみられている。また、報告書ではインシデントにつながった機構側の日常的なセキュリティ対策における“甘さ”も問題点に挙げている。

　共有ファイルサーバの利用に関しては、運用要領で「個人情報などの重要情報の保管は原則禁止」「例外的に保管する場合、パスワード設定などを講じる」などのルールが規定されていたものの、このサーバを担当する文書管理担当部署が機構全体でのルールの順守状況を確認せず、有名無実化していた。

　共有ファイルサーバ自体も、外部攻撃などの脅威にさらされるインターネット接続環境下に設置されていた。機構がそのリスクを組織として認識せず、システム設計を改善することはなかったという。

　また、国内では以前から標的型攻撃の危険性が叫ばれていたにもかかわらず、機構では職員などへの継続的な注意喚起が十分に行われず、職員の認識不足を招いた。その結果、今回の事案では不信なメールの添付ファイルを開いた5人の職員のうち4人がセキュリティ担当部署に報告をしなかった。

全職員への注意喚起でも当初は不審なメールを削除する指示しかせず、後の注意喚起で具体的な対処方法やセキュリティ担当部署への連絡といった対応が通知されるようになった（日本年金機構の報告書より）

　報告書は、年金機構全体として国民の大切な情報を預かるという意識が欠如しており、情報セキュリティ上のリスクに対する認識が不十分であったことが、日常的なセキュリティ対策の不徹底やインシデント発生時における不適切な対応を招いたと結論付けた。

　インシデントの再発防止に向けた取り組みについて、報告書では機構の体制やシステムのあり方、職員研修や内部監査、組織風土の抜本的な改革など広範な内容が挙げられている。特にインシデント対応に関して機構は7月10日からCSIRTの構築などに着手。指令塔として管理を一元的に行う「情報管理対策本部」（仮称）の新設や、アドバイザーとなるセキュリティ専門家や外部機関の起用、セキュリティ専門家の計画的な育成などに取り組むとしている。

インシデント対応に関する取り組み（日本年金機構の報告書より）