年金機構感染

日本年金機構で発生したウィルス感染による個人データ約125万件の流出。古典的なメール添付のファイルを開いて感染してバックドアを仕掛けられて、そこからデータを流出させてしまったという、これは組織側の対策不足を言われても仕方ないですよね。さらに不思議なのが、最初の感染が発生したのが5月の初め頃で警察に被害届を出したのが5月も終わり頃。その間にもデータ流出は続いていただろうし、どうしていたんだろうか。感染したことも問題あるけれど、その後の対策も後手後手になっていて、重要度を分かって無かったように感じますよね。

記事にも書かれているけれど、旧社保庁時代八草のずぼらな運用を散々批判されてきて、やっとその状態も改善されてそれなりに年金問題も解決してきたかと思ったら、今度は別の原因で再びトラブルメーカーになってしまいました。何かで読んだ記憶がありますが、セキュリティに関して技術的に相手のサーバーやゲートキーパーの脆弱性を突いて防御を破って情報が流出する確率よりは、今回の様に人為的ミスを利用して違法アクセスする方が格段に発生件数としては多いとのこと。人間が操作して人間が日々使用しているわけだから、一番脆弱な人の油断・無意識・惰性みたいなものを利用するのが一番ありそうですよね。

とは言っても、重要なお金と情報を扱う組織だけに、やはり今回の事件は反省して貰わないと。「油断」で片付けるにはお粗末すぎる自体なのも確か。よく分からないんですが、こういう官庁とか組織で使用するITシステムって、どこかまとめて管理運営している組織ってあるんだろうか。例えば文科省とか経産省傘下にネットワークインフラとかITサービスを専門にする組織とか作って、そこで一括管理運営とかできないんでしょうかね。後は、個別の端末が仮感染したとしても、そこからアクセス出来るデータに対して制限を掛けるとか手順を変えるとか、そう言うデータ重要度に比例してアクセス難度を設定するとかという対策もしていなかったんだろうか。そう言う意味で全体的に「甘かった」ということですよね。

早速年金番号を付け替えたり対策はしているようですけど、高い授業料を払ったと思ってこれからは慎重に運用して欲しいですよね。私もこれからまだまだお世話にならなきゃいけないわけだから。