祈ってもダメだった年金機構のITセキュリティ

この記事は約6分で読めます。

レッドカードを出す女性

私はかつて政府や地方自治体の脆弱なITセキュリティ体制の実態について、2010年7月24日付の「政治家の眼中にないITのセキュリティ対策」、そして、2013年10月14日付の「2014年XP問題、地方自治体の首長や幹部公務員は学習能力がないのか」でこう書いてきた。

「今や役所間の個人情報のやりとりもITを使う世の中になっているにもかかわらず、政治家や役所のローテク幹部の頭の中にITセキュリティという概念はない。
従って、現場の公務員ができることは、ハッカーに狙われないように祈るだけであり、福島原発事故のIT版がいつ起きてもおかしくない。
悲惨なのは、ハッカーやウイルスの感染によって個人情報が漏れ出す危険性に怯える当の自治体の住民と、苦情を受けて尻拭いをさせられる若手公務員である。」

2015年5月28日、こうした懸念は「日本年金機構における不正アクセスによる情報流出事案」として現実のものとなった。
そして、8月21日、厚生労働省が発表した「日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書」の要約版には、同省の情報セキュリティ体制の脆弱性として以下のように書かれている。

厚労省の情報セキュリティ担当者は実質1名の限られた体制の中で、マイナンバー制度の施行等多岐にわたる葉務を抱えていたこともあり、専門的知見や人見数などの面でみると、その情報システムの規模との比において、到底十分といえる体制とは言い難かった。

また、省内における専門家としては、CIO(情報システムの担当者)補佐官5名が配置されていたが、いずれの者も非常勤であり、かつ、システム刷新業務や関連業務などに加えて情報セキュリティを助言するという状況であったため、インシデント(incident=重大な事故)の報告が事後的になるケースが多かったなど、情報セキュリティに関して情参室の担当者等と緊密な連携はとれていなかった。

CSIRT(シーサート)体制も定められているが、その構成員は課室長以上となっており、技術力を持った実働要員が充てられていたわけではない。
さらに、厚労省と関連組織とのCSIRT(シーサート)連携はなされていなかった。

つまり、厚生労働省は、たった1人の担当者にITセキュリティ関連業務のすべてを行わせ、彼(彼女)をサポートする体制はまるでないに等しく、かつ、上司は誰もITに詳しくないため、いざというときに何の役にも立たない状況だということだ。

一方、当事者の年金機構のITセキュリティに関しては、人的体制は質・量ともに不備があり、サイバー攻撃に対して、何の対策も講じられていなかったに等しいと酷評された。

私はこれを見て、2008年5月に自殺した宮崎県児湯郡新富町役場の松本美香さん(当時28歳)のことを思い出した。
彼女も担当部署のシステム関連業務をほぼ一手に引き受させられていたというからだ。(2013年4月16日-Business Journal :28歳新富町職員、業務集中による過労で薬物自殺・・・危険把握していた町長は放置

要するに、役所でもIT化を推進すべき時代において、それに付いていけないローテク公務員が多すぎるから、そのしわ寄せが彼らのところに来るのだ。
ちなみに、前出の報告書は電子文書をそのままPDF化せずに、印刷したものをPDF化しているようで、こういうところにも厚生労働省のITオンチぶりが如実に出ていると言える。

ロイターのニュース(2015年8月21日-個人番号、基礎年金と連結延期)では「マイナンバー制度と基礎年金番号との情報連携の開始時期を、当初予定の2016年1月から延期する調整に入った。日本年金機構の情報流出問題を受け、再発防止策が図られるまで先送りする。延期期間は半年から1年の方向だ。」とあるが、ローテク政治家や公務員が岩盤のように固まっている組織が運用するマイナンバー(社会保障・税番号)制度は、国民にとって爆弾のようなものだ。

私が思う官公庁からの個人情報漏えいの再発防止策の一つは、5年前(2010年7月24日)のコラムで書いたように、電子政府などやめて、パソコンが苦手な官民の熟年サラリーマン(OBを含む)が涙して再雇用に応じられるローテクな役所を復活させればいいのだ。

財政難の折に、再雇用とはいえ、なぜ公務員を増やすのかという意見もあるだろうが、超高齢社会の日本においては電子政府を担う人材が決定的に不足してくるからだ。

それに、定期的にWindowsのOSの更新問題が立ちはだかることはコラムでも触れたとおりで、そうなると、日本人が大好きな「お祈り」の世界に入っていくことが確実だからだ。

私の知り合いのSEからは「(私たちが仕事を失うから)冗談でもそんなことは言わないでくれ」と言われたが、Windows 7のサポートが切れる2020年、東京五輪後の反動不況も予想される中、全国の公務員がパソコンの前で「お祈り」するよりマシだと思うがいかがだろうか。

サイバー攻撃、厚労省にも・・・年金機構に連絡せず (2015.8.22 読売新聞)

日本年金機構の個人情報流出問題で、厚生労働省の第三者検証委員会(委員長=甲斐中辰夫・元最高裁判事)は21日、報告書を公表し、機構への最初のサイバー攻撃の約半月前に厚労省年金局が類似の攻撃を受けていたことを明らかにした。

厚労省はこの攻撃について機構に伝えておらず、報告書は、厚労省と機構が情報や危機感を共有していなかったことが、約125万件(約101万人分)の大量流出という深刻な事態につながったと指摘した。

報告書によると、今年4月22日、厚労省年金局にメールが届き、職員が添付ファイルを開封。
パソコン端末がウイルスに感染して不審な通信を始めたことから、内閣サイバーセキュリティセンターからの連絡で同省は通信を遮断した。

機構はその約半月後の5月8日、標的型メールによる攻撃を受けたが、この時の不審な通信先は、厚労省への攻撃の際と一部同じだった。
報告書は「厚労省が事前に対策を取っていれば、機構への攻撃の一部は防げた」と言及した。

厚労省には情報セキュリティーの担当者が実質1人しかおらず、専門的な知識も不足していたことを問題視。
機構への攻撃が始まった後も、厚労省の担当部暑には不審メールを受信したという報告が複数回あったが、上司への報告は情報が流出した後の同25日だった。
報告書は、こうした不十分な対応で通信の遮断などが遅れたとした。

また、機構はパスワードを設定しないまま大量の個人情報を保管していたが、機構の情報システムを監督する厚労省の部署が決まっていなかったことも「監督官庁としてあり得ないことだ」と批判した。

一方、機構については、検証委の調査の過程で、一部の資料を出し渋ったことを明らかにし、「国民に多大な心配をかけていながら、組織としての自覚を欠いた姿であり、論外だ」と非難した。

そして、流出の原因について、①機構、厚労省とも、標的型メールによる攻撃への危機意識が不足②組織内、組織間で情報や危機感の共有がなく、場当たり的な対応に終始-などと指摘。
再発防止策として厚労省の情報セキュリティー部門の強化などを提言した。

報告書を塩崎厚労相に手渡した後、記者会見した検証委の甲斐中委員長は、「(4月の)攻撃について情報共有していれば、もっと危機感をもって対応できたはずだ。組織の在り方に問題があった」と述べた。

コメント

タイトルとURLをコピーしました