年金機構情報流出事件は、「典型的な割れ窓現象」
たとえば、いま注目を集める小型無人機「ドローン」。技術的に進化しつつも、まだ発展途上でありながら、新しい活用法が多く提案され、軍事利用の人道的武器としてのあり方やプライバシーの問題など議論が活発だ。しかし、後手に回っているのは、新たな技術によって誕生した新たな脅威に対する「具体的な対策」だ。
株式会社ラック 取締役 最高技術責任者 西本 逸郎氏
西本氏は「イノベーティブな技術が誕生すると、その活用の是非に決着がつく以前に、活用して恩恵を受ける人、そして悪用する人、損害を受ける人が出てくる」と語り、まさに現在のデジタル社会そのものだと指摘する。「ここへきてようやく日本でも実状に応じて対応しようという空気になってきた」(西本氏)
たとえば、無意識でもデジタル上では痕跡を残さざるを得ない。それがどう影響するのか、悪用されないのか。されないためにはどうしたらいいのか。現実的な対策を考えなければならない。また「ルールと実態の乖離」の問題も顕在化している。
たとえば某大手銀行での内部不正事件では、システム運用担当がその権限を悪用したものだった。ルールとして相反する権限を同一人物に渡すことを禁じているが、現場ではコスト削減など他の目的のもと、一人の現場のベテランに権限が集中してしまうことが多い。そうした従来の組織構造のまま、個人情報の価値が上がり、犯罪目的として魅力的になりつつある。「欧米型の組織管理の考え方が導入されるべきでは」と言われる所以だ。
そうした問題が最も顕在化したのが、「年金機構情報流出事件」だと西本氏はいう。それも「日本で初めて大規模な実害が確認された」事件だ。かつてスパイ活動では実害の内容が不明のまま曖昧にされてきた。それが、たまたまC&Cサーバーが日本国内で、その企業の協力もあって警察の操作が可能になったという。結果、実害が白日にさらされ、対策の不備が明らかになったというわけだ。
さらに西本氏によると、年金機構情報流出事件の分析では、かなり前から波状的かつ執拗な攻撃を受けたことが分かるという。ところが侵入形跡があったにも関わらず、実害がないことから放置され、その結果、大量の集中攻撃を受けて1台の感染から大量のデータ流出へとつながることとなった。
▲日本年金機構における個人情報流出事案に関する原因究明調査結果(サイバーセキュリティ戦略本部)
出所:Security Online2015/株式会社ラック 西本逸郎氏
講演資料「データ経営とサイバーセキュリティ」より
これを西本氏は「典型的な割れ窓現象」と指摘する。機構ではファイルにパスワードをかけ、使用後は削除というルールを設定していた。しかし、日常業務の中では守られないことも多く、その現状を誰も把握・指摘していなかった。
「『ルールはあった、しかし守られていなかった』というのが同機構の言い分だが、もはや弁明になどならない。“割れ窓”が確認されたにも関わらず、塞ぐことも、他にないか調べることも怠り、職員にアラートを出してもいない。まさに経営者が機能せず、非難の対象となるほかない。それは、そのまま企業の経営陣の常識として認識されるべきだろう」(西本氏)
