2015年6月3日水曜日

日本年金機構の125万件の個人年金情報流出 第三者検証及びシステム面の強化が必要

今回の、日本年金機構の125万件の個人年金情報流出、職員がパソコンに届いた電子メールに添付されたファイルを開き、その結果、パソコンがウイルスに感染して外部に個人情報が漏れたことが原因であると報じられています。

 ・しかし、単に人的ミスだけだろうか? システムのセキュリティ対策に甘さはないのだろうか?
 
 ・日本年金機構のシステム運用に問題はないのだろうか?

 ・また、システムの安全対策(セキュリティ対策)についての、第三者の検証は必要ないのだろうか?

今回の個人年金情報流出の原因を単に職員の問題にするのではなく、システム的な問題点・改善点を追求し対策をすることが大事だと思います。


なお、下記のITpro(by 日経コンピュータ)の記事によると、年金記録などを格納する基幹システム(社会保険オンラインシステム)の個人情報がファイル共有サーバーにも格納可能で、このサーバーのデータは、職員のパソコンで利用可能で、職員のパソコンがウイルスに感染したことで、職員のパソコンからファイル共有サーバーのデータ(個人年金情報)がインターネットに漏れたとのこと。

 ニュース - [続報]日本年金機構、ファイル共有サーバーを5年以上前から運用
 ITpro(by 日経コンピュータ)
 http://itpro.nikkeibp.co.jp/atcl/news/15/060201844/



なお、下記の記事で、甘利社会保障・税一体改革担当相は、次のように発言し、「マイナンバー導入予定は変更なし」と言っていますが、これはあまりにもシステム構築の原則論であり、今回の問題の原因と対策が不明な現状では、少々無責任な気がします。

 甘利大臣「マイナンバー導入予定は変更なし」 セキュリティ懸念否定 - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1506/02/news134.html


『マイナンバーは、いわゆる、あて名のデータベースというのは、業務情報のデータベースとは別な管理をされている。その間にファイアウォールがある。マイナンバーにアクセスできる職員は極めて限定されている。みんながアクセスできるというわけではない。』

なお、今回の事件の問題は、基幹システム(社会保険オンラインシステム)の問題ではなく、そこの情報を保管していた、ファイル共有サーバーとそれに接続されていた職員のパソコンが原因です。

今、大事なのは、日本年金機構の個人年金情報流出から、システムの安全対策(セキュリティ対策)の漏れを第三者が検証し、マイナンバーシステムでは、今回の問題は発生しないことを、きちんと証明しなければなりません。

システムの安全対策(セキュリティ対策)は、原則論だけではダメです。それが本当にシステムに組み込まれてるのか、システムの運用面の問題はないかをテストし検証しなければなりません。


その意味で、甘利大臣は「マイナンバー導入予定は変更なし」というのではなく、

「今回の日本年金機構の情報流出の原因・対策を第三者が検証し、それをもとに、マイナンバーシステムを見直します」

と言うべきですね。

なお、ITpro(by 日経コンピュータ)の下記の記事は、システムの専門家の眼で、今回の事件について、詳しく解説されています。

 ニュース - [続報]日本年金機構、ファイル共有サーバーを5年以上前から運用
 ITpro(by 日経コンピュータ)
 http://itpro.nikkeibp.co.jp/atcl/news/15/060201844/

上記の記事によると、下記が原因で個人年金情報が流出していたようです。なお、この記事で、

 パスワードの設定を職員任せにしていたこと、
 インターネットがつながる職員のパソコンでファイル共有サーバーにもアクセスできたこと
 
が、今回の流出を招いたとしています。やはりシステム的な問題も多々あるように思います。


①年金記録などを格納する基幹システムから個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた

②基幹システムの暗号化されていた個人情報を、職員がパソコンで復号し、ファイル共有サーバーに移していたと見られる。

③個人情報をファイル共有サーバーに格納する際は、アクセス制限をかけたり、ファイルに「人に推測されにくいパスワード」を設定することになっていたが、パスワードの設定は職員に任せており、第三者の確認はなかったようだ。

④今回漏れた125万件のうち、約55万件はパスワードが設定されていなかった。



■ 2015.7.12追記 標的型攻撃の対策は、従来のウイルス対策と全く逆


 年金情報流出から得られる教訓は――ラックが文書公開
 「標的型攻撃の対策は、従来のウイルス対策と全く逆」  - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1506/09/news150.html

この情報は、なかなか新鮮でした。標的型サイバー攻撃では、

 「1人への攻撃が成功した時点ですでに複数の人が感染し、複数のウイルスが入り込んでいると疑うべき」

と説明しています。

標的型サイバー攻撃は以下の内容で、最初に発見されたウイルスを調べても、組織内に入り込んだことを探し出す参考にはできないそうです。


 「最初の1台への攻撃が成功したあと、他のコンピュータへの再感染を試み、異なるウイルスに変更し、
  同様の調査では発見されにくくする工夫をする」

標的型サイバー攻撃の対処は、PCの感染や不正な通信が見つかった段階で、①組織からの外部通信をすべて遮断、②遠隔操作ウイルスの不正な通信を発見することで、不正な動作をするPCをすべて発見し、確実に駆除してゆくことが必要としています。

なお、この対策自体は、従来のウイルス対策でも大事なことですね。



■ 2015.6.11追記 「標的型攻撃メールの例と見分け方」:IPA



 IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」

        :IPA 独立行政法人 情報処理推進機構
 http://www.ipa.go.jp/security/technicalwatch/20150109.html

 

上記に、以下の標的型攻撃メールの例が詳しく紹介されています。この例を見ると、標的型攻撃メールが、どのようなメールか分かりますね。

 ・新聞社や出版社からの取材申込のメール
 ・就職活動に関する問い合わせのメール
 ・製品に関する問い合わせのメール
 ・セキュリティに係る注意喚起のメール
 ・注文書送付のメール
 ・アカウント情報の入力を要求するメール(その1)
 ・アカウント情報の入力を要求するメール(その2)




■ 2015.6.6追記 再発防止に向けた5つのポイント--日本年金機構の個人情報漏えい - ZDNet Japan



下記の記事に、以下の記事がありました。本当にそうですね。不審なメールを開かないということも大切ですが、もし万が一、開いてしまっても、情報漏洩の危険性が発生しないような対策が必要だと思います。

 ①人の負担が少ないセキュリティ環境を構築する
 ②ビジネスを前提とした情報セキュリティ対策を検討する(不審なメールを開かないという対策は現実的ではない)

再発防止に向けた5つのポイント--日本年金機構の個人情報漏えい - ZDNet Japan
http://japan.zdnet.com/article/35065515/





■ 2015.6.5追記 年金機構の漏えい事件は対岸の火事ではない




下記の内容は、今回の事件を技術的に分析しており、非常に参考になります。

年金機構の漏えい事件は対岸の火事ではない - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1506/05/news024.html