年金機構の情報漏えい、組織の問題点を探る:萩原栄幸の情報セキュリティ相談室(3/3 ページ)
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。
遅すぎた公表
問題点4:そもそも年金機構全体の危機意識があまりにも希薄である。5月8日に漏えいの事実を確認したにも関わらず、公表したのが1カ月近くも経ってからだ。いったい何を考えているのだろうか。もし、この程度の時間は仕方がないという感覚であるなら、筆者は疑問を感じざるを得ない。それならほとんどの状況が許容範囲になる。万一の事態を公表するための体制が年金機構で既に組み込まれていたとするなら、今回は明らかに遅い。今回のような事態は、平時から想定内の事象として業務フローで速やかに対応できるようにしておくべきである。全ての内容を公開する必要はなく、何を優先して発信すべきなのかは、よく考えれば分かるはずだ。
残念ながらその体制は整っていなかったようだ。少なくとも2ちゃんねるのスレッドには、公表前に5月28日に投稿されていた。マスコミへの公表がその3日後というお粗末さである。もしマイナンバー情報が漏れても同じようなことになる可能性が高いと考えてしまう専門家は多い。
年金機構は、公表が遅れた理由を「漏えいデータの範囲を見極めてから……」としているが、それはダメなことを情報セキュリティの専門家が皆お話しているはずだ。過去にも多くの企業が情報公開の仕方を誤り、倒産した。その経験が全く生きていない。しかも、今回は年金のデータである。老人にとっては生死にかかわる最重要の情報だ。
年金機構には、「もし自分のおばあちゃんがこれで年金を奪われ、自殺でもしたら……」といったことを想像をする力がないのだろうか。最悪の事態を想定したクイックレスポンスが必要である。周囲の関係者の説得に無駄な時間を費やす暇はなく、すぐに被害者の立場で考え、対応してほしかった。
これも日頃から指摘しているが、日本人は万一の事態を考慮した対応策を考えず、そうならない(今回なら情報漏えいをしない)ための対策だけを考える。だから想定外の事態にスムーズな対応ができない。専門家なら当たり前のことが当事者たちの間では全く実行されていないようだ。
せめて事実が発覚したその日に「情報漏えい対策プロジェクト」を立ち上げ、それぞれの専門家(標的型メールの解析、データの保護と被害の範囲確定、マスコミ対策、根本的な対応の検討、基礎番号の大量変更採番ツールの準備、窓口の設定や番号通知の郵送、電話・メール対応などなど)を招集し、実行プランを開始する。これらを24時間以内に決めて、対応することで被害は最小限になったはずである。
「やってはいけないこと」
問題点5:「やってはいけないこと」を性善説で考えてはいけない。「たぶん、しないだろう」という感覚があったのではないか。機構全体の問題になる禁止行為を極力検知できるシステムや、アクセスコントロールを含めたログの分析を通じて常時監視できる仕組みを堂々と導入しておくべきだった。
ところが年金機構はアクセスログ自体を解析していないと国会で答弁し、さらに驚いた。
職員はなぜ簡単に重要なデータをDVDなどにコピーできたのか。なぜ個人や職域のサーバにあってはならないはずのパスワードなしデータが存在していたのか――。職員個人のセキュリティ意識に依存し切っていたのではないかと思えるほど、あまりにもユルい……。実際に年金機構の現場を見たわけではないが、これまでの経験からそう思わざるを得ないのである
今後のマイナンバー制度といった個人情報を取り扱う仕組みの広がりを鑑みると、年金機構は速やかに対応すべきだ。せめて中規模の銀行並み(本来ならメガバンク以上)のセキュリティを確保してほしい。名誉を回復できるほどに懸命に努力していただきたい。心からそう願わずにいられない。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- 標的型攻撃の事実が示すセキュリティ対策の“本当の誤解”とは?
「標的型攻撃に狙われるのは大企業」「多層防御だから心配ない」と考える企業が少なくない。だが対策を講じても、根底を誤ると失敗する。それは何か。 - マルウェア感染前提の対策と運用の徹底を
IPAは感染を防ぐだけでなく、感染したことによる被害を少なくするための対策とその運用の実施を改めて呼び掛けた。 - メール添付ウイルスで年金情報流出、年金機構がネット接続を遮断
基礎年金番号や氏名、住所など約125万件の情報が漏えいした。 - 標的型攻撃を受けたヤフー、語られた対策とは?
2013年に不正アクセスでユーザー情報が流出したヤフー。同社がこの事件で得た教訓も基づく標的型攻撃対策の視点を語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.