情報セキュリティ事件の2015年総まとめ：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

2015年も残すところ1週間を切った。今年もさまざまな情報セキュリティ事件が起きたが、筆者が気になった事件を振り返ってみたい。

[萩原栄幸，ITmedia]

　2015年も情報セキュリティに関わるさまざまな出来事があった。インテルセキュリティが11月に「2015年の10大セキュリティ事件」を発表し、その中の主要部分は筆者もこの連載で解説している。今回はこれらの総括を兼ねて、10大セキュリティ事件の上位5つについて振り返りたい。

2015年の10大セキュリティ事件（出典：インテルセキュリティ）

1位：日本年金機構の問題

　この事件について筆者も解説している。そこでも触れたが、まずこの事件について年金機構に同情する点はほとんどない。「社会保険庁」という組織の名前だけを変えて、中味はほとんど変っておらず、キャリア組と中間層、そして大部分の役職なき職員とパートタイムの方々の3層構造の問題をそのまま引きずっている。

　「起こるべくして起きた」というのは言い過ぎかもしれない。しかし、ネットの掲示板に「来週の月曜日に記者会見をするようだ」などと投稿されたことでも分かるように、正式に会見する前からこの出来事が漏えいしていた。これを鑑みるに、同情する点はほとんど無いわけだ。さまざまな評論家が「想定内だ」などとも発言をしているが、年金以外にほとんど収入のない高齢者にとって極めて不謹慎な表現であるとも感じる。この事件で筆者は以下の5つの問題点を挙げた。

問題1：メールのリンクや添付ファイルを確認せず、社員や職員が勝手な判断で開くことは、いまや教育を普通に行っている企業ではほとんどない。

問題2：「怪しいメールは開くな！」というスローガンは、セキュリティの防御システムに人間の判断を入れることになるので良くない（大半は訓練されていない素人の判断になる）。「怪しい」の定義は何かということや、万一開封した職員への糾弾の恐れもある。

問題3：多くのマスコミが「パスワードで保護していない個人情報が55万人分あった」と盛んに報道したが、指摘すべき視点が違う。最も指摘すべきは、作業を短時間で済ませたいとした一部の職員が、年金機構として認識していないデータを自身のPCやファイルサーバにコピーできてしまっていたこと、そして、コピー行為を許してしまったことだ。つまり、情報の安全性と作業の利便性をどうすべきか、という議論を喚起すべきだった。

問題4：事件発覚から公表まで1カ月近くも要したことはあまりに遅い。発覚からさまざまな関係機関とネゴシエーションする必要があったのかもしれないが、1時間でも早く事実を公表しなければ納税者が知らないうちに被害を受けてしまう恐れがあるという想像力が欠けていたように思う。一部の専門家は許容範囲としているが、筆者がセキュリティ対策の現場で作業している経験に照らせば、せいぜい数日以内が限度であり、現場にもそのように指導している。

問題5：セキュリティ対策を含めて「やってはいけないこと」を性善説で考えていたのだろう。人間には心の隙があり、脇が甘くなってしまう。ここは最大限にシステム化、自動化、見える化で対処すべき状況にあったと思う。結果的に事故へつながったことで、年金分野へのマイナンバー導入が遅れることになったのは言うまでもない。