年金機構の情報漏えい、組織の問題点を探る:萩原栄幸の情報セキュリティ相談室(2/3 ページ)
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。
怪しくないメールだから開く
問題点2:情報処理推進機構(IPA)などセキュリティ機関は、よく「怪しいメールは開くな」と警告としているが、この言葉では極めてまずい。
“怪しいメール”というは、実際には9割以上がアダルト系の内容で、日本語としておかしい表現だったり、途中の文字列に「.」や文字化けがあったりする。見た目からどう考えてもおかしいメールであるが、標的型攻撃メールのほとんどは“怪しくないメール”の形でくる。筆者も5、6年も前からセキュリティセミナーなどで伝えてきた。
だます方はバカではない。いつまでも表現のおかしな日本語を送りつけることはしない。現在はどうみても友人やお得意先としか思えない形で忍び込んでくる。対策としてはきちんとメールの防御システムを構築するのは当然のこと、「メールの全てを疑え」「リンク先は使うな」「添付ファイルは自分の責任にならない様に内規で対応しろ」というほど強く警戒しないといけない(もちろん企業の状況でその扱いは異なる)。
問題点3:利便性を最優先に仕事をする人間は非常に危険である。企業は「守らないなら解雇する」という気概で情報セキュリティ教育を徹底し、対策システムを構築しないといけない。
年金機構では一部の職員が利便性だけで年金データの一部をDVDなどでコピーし、自分のPCに移して仕事をしたり、ファイルサーバに複製したりしていたという。「Oh! My God!!」としか、言いようがない。
筆者はこんなことをする人間の気持ちの0.1%は理解できるが、その感覚は戦前(70年前)までだ。どうしても自分の身勝手な都合で仕事をしたいなら、独立して自分の会社ですればいい。罪もなき納税者を巻き添えにするな、といいたい。自分の行為の結果がいかに怖いことかを本当に理解しているなら、絶対にしないはずである。
マスコミでは55万件のデータがパスワードで保護されていなかったことを問題に挙げているが、一部職員の行動はそれ以前の問題だ。たとえパスワードで保護していようと、そもそも身勝手な行為が可能なサーバやPC自体が存在してはならない。年金機構が把握していないようなデータ作成を許してはいけないのだ。そんなことは新人でも理解できる。
年金という、高齢者にとっては生きるための唯一の糧ともいえるものの情報が漏えいした。今後、年金を受給できなかったり、オレオレ詐欺の標的になったり、様々な被害が起きるだろう(起きないことを期待したいが)。
関連記事
- 標的型攻撃の事実が示すセキュリティ対策の“本当の誤解”とは?
「標的型攻撃に狙われるのは大企業」「多層防御だから心配ない」と考える企業が少なくない。だが対策を講じても、根底を誤ると失敗する。それは何か。 - マルウェア感染前提の対策と運用の徹底を
IPAは感染を防ぐだけでなく、感染したことによる被害を少なくするための対策とその運用の実施を改めて呼び掛けた。 - メール添付ウイルスで年金情報流出、年金機構がネット接続を遮断
基礎年金番号や氏名、住所など約125万件の情報が漏えいした。 - 標的型攻撃を受けたヤフー、語られた対策とは?
2013年に不正アクセスでユーザー情報が流出したヤフー。同社がこの事件で得た教訓も基づく標的型攻撃対策の視点を語った。
Copyright © ITmedia, Inc. All Rights Reserved.