情報セキュリティの強化が叫ばれる中人的リスクが最も注目されている
おはようございます。
2015年6月の情報セキュリティに関する配信記事です。
サイバー攻撃による約125万件もの年金加入者情報の流出を日本年金機構が公表しました。
高度な情報セキュリティ社会において、データベースを守るのはますます難しくなってきているとは思うのですが、この状況はあまりにも脆弱と言わざるを得ないので書いておきます。
確かに、情報流出は少し前ではベネッセも起こしまして、データ流出先に対して500円図書券を配るなどの対応に追われています(筆者の家にも数枚参りましたので使いました)。
しかしながら、この事案は、「内部者という人によるオフライン情報持ち出し」による流出であり、外部からのプログラム攻撃によりサーバーデータが盗まれたわけではないのです。
この違いは、かなり重要だと見ます。
公開インターネット経由で、その組織が持つトップシークレットである年金情報にアクセスできるという「環境」は非常に脆弱です。
どうして個人情報満載のサーバーを外部ときっちり遮断しておかないのでしょうか。
外部からやってきたウイルス添付メールを開封しただけで、サーバー中にそれが蔓延するというのは、なんの隔壁もない船のようなもので、最初に破れたところで一気に沈没してしまうのは目に見えています。
内部のプロの犯行か外部からの侵入者の事案か
対してベネッセの事例は、データをお金に変えようと思った不心得者のエンジニアが、サーバーに自らのスマホかDVDか何かを差し込んで、データをコピーして持ち出したわけです。
個人情報のサーバーが直接インターネットで外部と接続されれているなどというわけではありません。
玄人の世界では、この「人的リスク」が一番の肝であり、通常サーバールームに入る際には指紋認証などのセキュリティを高めて、監視カメラによる24時間監視体制など当たり前となっています。
日本年金機構のやったことは、大事な顧客情報をCドライブに満載のPCで、オンラインゲームで遊んじゃう、そんなレベルのものなのです。
おそらく、非常に古いシステムと、そもそもの仕事のやり方も昭和的なものなのだと思っています。
そして、記者会見で謝罪していたシニアな方々がそのような通常レベルのインターネットリテラシーをお持ちなのかも、非常に怪しいところです。
つまり、わかってなくて謝っているだけという気がするのです。
自分たちの年金を、どのような人たちに安全に預けるか、この信頼回復の道は遠そうです。
初級システムアドミニストレータという、今は亡き昭和生まれ専用の資格だけは持っている年金の少ない筆者からは以上です。
(平成27年6月9日 火曜日 最終更新:平成28年6月9日 水曜日)
