情報セキュリティ
事務所のシステムも老朽化とセキュリティ対策のため、国会、奈良共に全面的なシステムの入れ替えを実施しているところである。
人為的なミスなど、中小零細ゆえに大いにありがちなところだが、それでも十分注意を払うことと、セキュリティの強化が求められる。
一方、国会では漏れた年金情報についても、パスワード設定の虚偽報告だとか役所から、相変わらずずさんな実態がボロボロと報告され、なかなか収束が見えない状態だ。
そもそも役所の情報セキュリティの脆弱さは、かねてより指摘されてきたものである。「独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2015」によると2014年に発生した主な情報セキュリティ脅威の第1位はインターネットバンキング等の不正利用、第2位は内部不正による情報漏洩、そして第3位が標的型攻撃による諜報活動などであり、2位、3位は公的機関がさらされる可能性が高い脅威の一つだった。
こうした状況において、起こるべくして起こったのが、漏れた年金情報である。
そもそも、行政機関のセキュリティポリシー、情報セキュリティに係るガバナンス等に「ムラ」があり、統一的で効率的な運用がされていないのが最大の要因である。単純に、メールを開いた個人のミスが原因だとしてしまうと、対策を大きく誤る可能性がある。
役所のセキュリティプラットフォームでは、多くが外部からの通信を制御するファイアーウォールと迷惑メール対策のメールゲートウェイ止まりだ。それ以上の不正侵入検知や不正侵入予防、WEB不正アクセス制御のウェブゲートウェイ、さらには高度標的型攻撃検知のATD(Advanced Threat Defense)や、セキュリティ環境監視のSIEM(Security Information and Event Management)までを導入しなければ、国際的なハッカー集団からの攻撃を防ぐことは困難になるだろう。
我が国の情報セキュリティについては、国際級の対策が講じられているのは警察庁と防衛省と原子力規制庁の一部だけだというから、その他府省の対策が急がれる。その意味では、一刻も早く、ATDとSIEMの導入を急ぐべきである。
年金機構に対して行われたクラウディオメガオペレーションはパッチ未適用の一太郎の脆弱性に対する攻撃だ。そして、今回の標的型攻撃によって、日本の公的機関が2012年の古い型のウィルスにやられてしまうという事実が公になったことが最大の問題だ。世界中のサイバーテロリストに我が国の公的機関の情報セキュリティの致命的な脆弱性をさらしてしまったことになる。
今後、サイバー攻撃は公的機関をさらに狙ってくるだろう。その先にあるターゲットは、2020年の東京五輪だ。セキュリティシステムの強化を、役所が縦割りでそれぞれ勝手にやるのではなく、すでにある防衛・警察はじめとする知恵を活用して最大限の対策を打つべきだ。
一方、私の事務所は、システムが順次配備されていってるが、「やだ、パスワード忘れた!」とか、ヒロコが叫んでるのを見ると、セキュリティ以前の問題が山積みだ。