年金機構の情報漏えい事件が話題になっています。

標的型攻撃、水飲み場型攻撃は、過去にも国会議員が被害に遭うなど、何度か話題になっており、情報セキュリティ白書などでも取り上げられていましたが、あまりクローズアップされることはなかった気がします。

しかし、今回は、
・「消えた年金問題」の旧社保庁が起こした事故
・漏えいした国民にも詐欺等の被害が及ぶ可能性があること
・今後稼働するマイナンバー制度に対する不安
などの影響でしょうか、大きな話題になりました。

このエントリーでは、年金機構が云々という話よりも、もっと一般的な視点から、セキュリティ対策の重要性と難しさについて述べてみようと思います。

基本的に、「ウィルスを送ったり、フィッシングしたりする輩が悪い」ということは前提なのですが、輩がいる現実を踏まえると、性悪説で自衛をしなけばなりません。
輩を撲滅しよう、罰則を強化して抑止せよ、という声を上げることも大切ですが、それだけではどうしようもない現実に対応することは出来ません。
性善説で運用出来ることが理想ですが、魑魅魍魎が跋扈するインターネットの世界を牧歌的に丸裸でうろつくのはやはりマズいと考えます。

情報セキュリティの対象範囲の整理

情報セキュリティと一言でいうのは簡単ですが、それだとイメージがボヤけすぎてしまうため、その一言が含む対象を少しだけ細分化して考えてみます。

利用者、端末（パソコンやタブレットなど）、ネットワーク機器（ルータやハブなど）、サーバ（サービス）という4つの対象に加え、ハードウェやソフトウェアという視点を加えてみました。

図1

簡略化していますが、情報セキュリティを検討するにあたっては、大まかに図１のような対象が挙げられます。
情報セキュリティは、それらに対して「CIA」の対策を講じる必要があります。「CIA」については次項で説明します。

情報セキュリティのCIAとは？

情報セキュリティの基本的な考え方として、CIAというものがあります（参考：セキュリティ用語事典：C.I.A.）。
C：Confidentiality＝機密性
I：Integrity ＝完全性
A：Availability ＝可用性
の頭文字をとったもので、ざっくり言うと、「漏れないの？」「壊れないの？」「アクセス出来るの？」という視点になります。

情報セキュリティ対策とは、図１のどの対象に及ぶ脅威に対し、CIAのどの手当てをするか？ということに他なりません。

個別のソリューション、例えば個別端末へのウィルス対策ソフト導入、ネットワーク回線の二重化、基幹システムのバックアップなどがあるとして、それらは図に当てはめると下記のように部分的な手当になります。

個別端末へのウィルス対策ソフト導入

回線二重化

システムバックアップ

よくある誤解は、特定の対象に対し、CIAのどれかを手当てしたことが「全体的な対策になっている」みなされてしまうことです。
しかし見ての通り、全体的にCIAを担保するというのは、赤枠の部分の対応を上手く鎖のようにつなぎ合わせていく作業になります。

セキュリティ対策の大切なポイント

セキュリテイ対策とは、沢山の輪が鎖のようにつながったものですが、鎖全体の強度というのは、一番弱い輪に依存します。
鋼鉄の輪があったとしても、どこか一か所だけタコ糸の輪があれば、簡単に引きちぎることが出来てしまいます。鋼鉄がどんなに固くても意味を成しません。
したがって、鎖全体の強度を高めるためには、特定の輪を強化するだけでは不十分で、むしろ一番弱い輪を強化するという視点が必要になります

そして一番弱い輪は、多くの場合「人」や「運用」です。お金をかけて、セキュリティツールや多重化等の対策をすることで、強固な輪を作ることが出来ますが、全体を通して考えるとそれだけでは必ずしもセキュリティが高い状態とは言えません。

利便性と安全性のバランス

情報セキュリティの完全武装をする事は、多分可能です。

いきなりですが、昔読んだ漫画で「蜂が苦手な人が養蜂場でハチミツを採取する」という場面がありました。そこで、中世の騎士のように鉄の鎧で身を固め、どこからでもかかってこい！と叫ぶシーンがあったのを思い出しました（こち亀のボルボ西郷？うろ覚え）。

しかし、これだと確かにミツバチに刺される心配はありませんが、反面、上手く動けず、ハチミツが採取できません。

セキュリティ対策も同じ事で、完全武装も過ぎたるは及ばざるが如し、この場合の完全武装・ノーリスクとは「何もしない事」と同義なのです。

つまり、完全武装が多分可能、ということの具体的対応は「何もしないこと」になります。自動車事故のリスクを回避するには、自動車に乗らなければよい、という話です。

年金機構では、元データが管理されているセキュアな基幹系システムと、通常業務用の情報系システムがあり、両者はネットワーク的に切り離されていたようですが、それは「養蜂場での鉄鎧」と同じ事で、「データにはアクセスするな、だが効率よく仕事しろ」という矛盾した指示に他なりません。

そこで現場的な工夫として、セキュアな対策をされた基幹システムから、インターネットへもつながってしまっている情報系のファイルサーバへデータを複製するという裏技が使われてしまったようです。
「原則として、個人情報を含むデータは情報系には置かない。例外的に置く場合はパスワードを掛ける」というルールはあったようですが、完全に守られていたわけではなかったようです。

※個人的な感想ですが、エクセルファイルに読み取りパスワードを掛けるという運用は、ファイル自体が持ち出されてしまうとじっくり総当たりで解除出来てしまうので、面倒な割にはそれほど安全とは思えません。

定められたルールを逸脱した現場にも責任がありますが、逸脱せざるを得ないルールにしてしまったルール設計者の責任もあるでしょう。
この辺りは、「セキュリティを厳しくする情シスと、工夫する現場」のイタチごっごな面もあります。

ただ一つ言えるのは、利便性と安全性のバランスをとったルールは、現場の業務担当者や情シス担当者だけで決められるものではありません。

そこはCIO的な立場の者が俯瞰して調整する役割を担うしかありませんが、そのような対応ができている組織はそれほど多くないと感じています(自分調べ)。

ではどうすれば良いの？

残念ながら、どうすれば安全かつ最適なやり方なのかを一言で答えることはできません。
事業規模や扱う情報の内容は組織によって千差万別であるため、それぞれの個別の事情に応じて個別に対策を考えるしか無いと考えています。
逆に「これをやれば安心」という宣言をしてしまうことの方がむしろ危険です。ウケはいいですが。

今その辺りをサービスとして診断・アドバイスする枠組みを考えています。出来上がったら公開します。
（→情報セキュリティアセスメントのお知らせ）

【参考】

• 株式会社ラック「日本年金機構の情報漏えい事件から得られる教訓」
• 日本年金機構、標的型攻撃で年金情報流出　ITPro

ITと経営に関するお悩みはありませんか？

ITに関連する経営課題についてどんな内容でもアドバイス可能です。
お一人で悩まれずに、些細なことだと思われることであっても、お気軽にご相談ください。
もちろん、お問い合わせメールへは無料で対応いたします。

今すぐ相談・問い合わせしてみる