年金機構の情報漏えい、組織の問題点を探る:萩原栄幸の情報セキュリティ相談室(1/3 ページ)
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。
6月1日に日本年金機構が情報漏えいを発表した。今回の事件を時系列に掲載してみるとおおよそ次の様になる。
- 5月8日、職員(福岡県)にメールが届く
件名は、通達文書の題名にそっくりな「『厚生年金基金制度の見直しについて(試案)』に関する意見」というものと、それとは異なる別のメールの少なくとも2種類であったという。この通達文書メール型では本文中に外部リンクに接続する箇所があり、そこを職員がクリックしてしまった。
年金機構では「疑わしいメールを開くな」と全職員に通知していたが、その後も添付ファイルを開いて感染されてしまった事を認識している(東京本部の職員)。職員の端末は情報系システムとつながっていたため、結果的にウイルスに感染した職員の端末は数十台になるという。
- 5月18日、警視庁に調査依頼
- 5月28日、外部への情報漏えいが確定
- 6月1日、事件の情報公開とWebサイトにお詫び文書を掲載
漏えいされたデータは合計で約125万件、最も被害が大きいのが「基礎年金番号、氏名、生年月日、住所」の4要素が漏えいされたケースで約5万2000件である。
今後も情報が錯そうしていく可能性があり、周辺状況に関する考察はここでは割愛したい。先日の国会答弁で年金機構側は、漏えいしたデータが125万件よりも増加する可能性があると明確に答えた。いったい、どうなるのだろうか……。
問題点は?
さて、今回は「何が問題だったのか」「どうすればよかったのか」に的を絞って持論を展開したい。主な問題点は次の通りだ。
問題点1:メールのリンクや添付ファイルを確認せず、社員や職員が勝手な判断で開くことは、いまや金融機関ではほとんどない。まして今回は、以前から何かと問題があり、体制を一新したはずの日本年金機構で起きた。政府系団体の中で今後はマイナンバー制度など最も厳格な運営を志し、努力しなければならない団体である。
年金機構はいったい何をしてきたのだろうか。情報セキュリティ管理者の言い訳をぜひ聞いてみたいものだ。筆者はいつも話しているが、どんなに高価なセキュリティシステムを導入しても、運用するのは人間である。人間の質を企業の臨むレベル以上に高める努力を常に行う必要がある。
筆者は金融機関を主体にコンサルティングの仕事をしている。その経験から言えるのは、「情報セキュリティ教育」を積極的に受け入れ、何とか自社での情報漏えいを避けようという意識の高い企業と、国からの補助金をアテにして仕方なく形だけの教育をしている企業が存在するという実態である。その結果に雲泥の差が生じるのは明らかだ。
前者の企業の場合、セキュリティ教育ではメールを安易に開いてしまうことなどの怖さについて真剣に伝えている。ウイルス感染から情報漏えいを引き起こしたような場合、本人だけではなく、家族も巻き込んでしまう。職を失い、退職金がもらえるかどうかも不明という大きなペナルティを受ける可能性が高いといったことを講師が職員に心から訴え、絶対に安易な気持ちで作業をしてはいけないことを重点的に教育する。筆者が企業の公認のもとで添付ファイルのあるメールや外部リンクのあるメールを送付して適切に対応できるか確認(演習)した結果、受講者全員が内規に則り、対応をした。
しかし、後者のような企業ではコンプライアンス担当者が仕事として「市販のマニュアル」に沿って教育をしている。同じように演習をしてみると、拠点や業務環境によって差はあるものの、なんと3%〜7%強の職員がメールを開いてしまっていた。この差は実に大きい。
ところが、地方自治体はもっと酷いという驚愕の事実が明らかになった。神奈川県の藤沢市役所でIT担当者を対象に標的型メール(実害のないダミーのウイルスが仕込まれたメール)を送付したところ、なんと4割もの職員がメールを開いてしまったという。これは酷い。間もなく「マイナンバー制度」が始まるが、将来は民間での活用も検討されているだけに、万一の事態になればその被害は幾何級数的な数になるだろう。
企業や組織は、コンプライアンスを含む職員への徹底した情報セキュリティ教育で心を込めて解説しなければならない。なぜなら情報セキュリティとは、目に見えない事象であるだけにどうしても軽視されてしまう。心を込めて取り組まなければ、極めて怖いことになるからだ。
関連記事
- 標的型攻撃の事実が示すセキュリティ対策の“本当の誤解”とは?
「標的型攻撃に狙われるのは大企業」「多層防御だから心配ない」と考える企業が少なくない。だが対策を講じても、根底を誤ると失敗する。それは何か。 - マルウェア感染前提の対策と運用の徹底を
IPAは感染を防ぐだけでなく、感染したことによる被害を少なくするための対策とその運用の実施を改めて呼び掛けた。 - メール添付ウイルスで年金情報流出、年金機構がネット接続を遮断
基礎年金番号や氏名、住所など約125万件の情報が漏えいした。 - 標的型攻撃を受けたヤフー、語られた対策とは?
2013年に不正アクセスでユーザー情報が流出したヤフー。同社がこの事件で得た教訓も基づく標的型攻撃対策の視点を語った。
Copyright © ITmedia, Inc. All Rights Reserved.