連想買いの株高

日本年金機構が、サイバー攻撃にあい125万件の個人情報が流出していたと6月1日に謝罪会見を開きました。ウイルスに感染したパソコンを経由して、不正アクセスが行われていたというのです。

機構の発表によれば、添付ファイルの開封による感染というよくあるパターン。事件を報じた産経新聞は、前身の社保庁時代の「年金履歴のぞき見事件」と異なり、被害者の側面があると紹介しますが、次々と明らかになる事実からは「重過失」の疑いが浮かびます。

情報流出が発表された翌日の東京株式市場。ラック、FFRIなど、セキュリティ関連会社の株は、買い気配のまましばらく値が付かずにいました。事件により、セキュリティ対策の需要が高まり、好業績に繋がるという思惑買いと見られます。しかし、ソフトやハードを強化するというテクノロジーからのアプローチだけでは再発防止は夢のまた夢の「セキュリティ0.2」です。

約40台の感染

ウイルス感染が発覚したのが5月8日。官公庁へのサイバー攻撃を監視している「内閣サイバーセキュリティセンター」が、不審な通信を見つけ同機構に通報し、当該パソコンを外部ネットワークから遮断します。この迅速な対応だけは、極めて優秀と評価できます。

ところが不思議な事実が明らかとなっていきます。添付ファイルをクリックした職員は、5月8日だけでなく、18日にも現れたというのです。この情報だけ見るならば、感染したパソコンは2台のはず。しかし、全国紙Aでは十数台、ほかの全国紙に至っては「約40台のパソコンが不正なアクセスを受けたとみられる」と伝えているのです。

パソコンのウィルスはUSB端末やネットワークを介して拡がります。マスコミ各社の報道を総合すると、感染発覚により外部ネットワークから切り離したパソコンを、内部ネットワークに繋いでいた疑いが強まります。ノートパソコンの「無線LAN(Wi-Fi)」をオフにしただけで、通信ケーブルは接続したままだったということでしょうか。

これではインフルエンザを発症した社員を、帰宅させずに事務所内で働かせ続けるようなもの。感染拡大は言わずもがなです。

大半はヒューマンエラー

個人情報の書き込まれたファイルは、パスワードを設定しなければならないという内規がありました。

パスワードをかけておけば、仮に個人情報が流出したとしても、容易に中身が見られることはありません。万が一の情報流出時に、被害を最小限に食い止めるためのルールで、情報管理からみて妥当な対策です。

ところが、流出した個人情報の44%にあたる、55万件が未設定でした。鍵をかけていない金庫は、かさばる戸棚に過ぎません。

被害を決定づけたのは、従来は堅牢な基幹システム内にあった個人情報を「ファイル共有サーバ」に移したことです。朝日新聞が「パソコン」と表現していることから、パソコンの「ファイル共有機能」かも知れませんが果たす役割は同じです。

感染したパソコンは、ここにあった情報を見つけ、外部に送信していたのです。つまり、ここに情報を置いておかなければ、そもそも論として流出する情報はなかったのです。二重三重の人間によるミスと、管理の不徹底という「ヒューマンエラー」の前には、どんな堅牢なセキュリティ対策も「0.2」に成り下がります。

習っていないから知らない

また、発表前に「2ちゃんねる」では内部情報と見られる書き込みが見つかっています。旧社保庁の事件からも、日本年金機構という組織に根ざす、情報を取り扱う事業者としての危機意識の欠如は論外のレベルですが、大なり小なり、どの企業も内包する現代的な課題です。

ソフトやハードを強化するだけでは再発防止は不可能です。機構の対応のまずさは特筆に値するとしても、問題の本質は「ヒューマンエラー」にあるからです。早急であり恒久的な対策としては、教育、指導、訓練といった「人」への投資で、これを疎かにしている企業は少なくありません。

どれだけ堅牢なセキュリティを施したとしても、身内が無邪気に壁に穴をあけているようでは、防ぐことなどできません。あるいは窓口にやってきたテロリストを応接室に通し、正体が明らかになった後も、行動の自由を許していたとすれば、例え吉田沙保里さんが扮する「安心戦隊ALSOK」でも平和を守ることは出来ません。

セキュリティソフトが脆弱だった20世紀、ウイルス被害は珍しいものではなく、某ラジオパーソナリティは買ったばかりのパソコンが感染していたことを繰り返しネタにしています。

ところが堅牢なセキュリティシステムが普及するに従い、個人レベルでの危機感は薄れてきます。さらにスマホの普及で、若者世代を中心に、パソコン離れ、電子メール離れが進んだことにより、むしろ危機は増大しているように感じます。

エンタープライズ1.0への箴言


不正アクセス対策で欠けている「教育」という視点

宮脇 睦(みやわき あつし)

プログラマーを振り出しにさまざまな社会経験を積んだ後、有限会社アズモードを設立。営業の現場を知る強みを生かし、Webとリアルビジネスの融合を目指した「営業戦略付きホームページ」を提供している。コラムニストとして精力的に活動し、「Web担当者Forum(インプレスビジネスメディア)」、「通販支援ブログ(スクロール360)」でも連載しているほか、漫画原作も手がける。著書に「Web2.0が殺すもの」「楽天市場がなくなる日」(ともに洋泉社)がある。最新刊は7月10日に発行された電子書籍「食べログ化する政治~ネット世論と幼児化と山本太郎~」

筆者ブログ「ITジャーナリスト宮脇睦の本当のことが言えない世界の片隅で」