日本年金機構の個人情報流出に関する再発防止に見る自社のセキュリティ対策

2015年9月9日

日本年金機構の個人情報流出に関する再発防止に見る自社のセキュリティ対策

　日本年金機構における不正アクセスによる情報流出問題は、流出件数の多さや、その問題のある管理方法について多くの批判を受けることになりました。そして、原因究明と再発防止のための検証を行う情報流出事案検証委員会が設置され、先日、検証報告書が公開されました。

　この報告書では、情報流出について、事実の認定、標的型攻撃と情報流出の原因を行い、再発防止策を提言しています。この再発防止策の「人的体制の整備」については、一般企業が情報を漏えいを防止するための対策として、参考になることも多いため、内容を確認しておきましょう。
セキュリティ対策本部の設立
　機構には、副理事長をトップとする形だけの情報セキュリティ体制があるが機能していなかった。早急に、十分な判断力のある最高情報セキュリティ責任者の下にセキュリティ対策本部を設立し、役職員の役割・責任・権限を明確にし、各自が自らのなすべきことを熟知し、その責務を果たせるようにすべきである。そして、専門機関などと連携し最新の情報を入手すると共に、有事の際に共同して対処できる関係を構築しておくべきである。
CSIRTの設立
　機構は、膨大な個人情報を取り扱っていながら、緊急時に対応すべきCSIRTを設けていない。機構内の的確な判断力を有する幹部から適任者をトップに選び、外部専門家の支援を受ける体制のCSIRTを設立すべきである。その場合、現場で作業するメンバーをも含めた機動的に動ける体制にすべきである。
※CSIRT
　セキュリティインシデントに対応するための組織。平時はインシデント情報等の収集・分析とそれに基づく対応方針・手順の策定にあたり、インシデント発生時には緊急対応を担う。
共有フォルダなどの個人情報の一元的管理と整理
　機構の共有フォルダには、膨大な個人情報が漫然と積み上げられ、これを一元的に管理していなかったことから、共有フォルダに保管されていた情報の調査に長時間を要し、いまだにその全容が明らかになっていない。
　個人情報は、インターネットの環境から遮断し、やむを得ないものは分割して厳格に管理すべきである。その際、現場の実情を理解し守れる規則を作るとともに、作った規則は必ず職員に守らせることが必要である。
教育訓練の徹底
　サイバー攻撃の端緒を把握するのは、PC端末を扱う者全てにその機会があるから、そのポストを問わず教育訓練の実施が必要である。特に幹部には、リスク管理や危機管理の在り方などのセキュリティマネジメントの教育研修を、その他の職員には擬似メールなどによる実践的な訓練が必要である。
外部監査の実施
　独立した専門家による情報セキュリティ監査を行う必要がある。内部の監査機能が不十分である以上、外部の目で問題点を発見するのは民間では当然のことである。また、一連の再発防止策を講じた段階で保証型セキュリティ監査を受けることが望ましい。
明確な情報セキュリティポリシーなどの策定
　機構の情報セキュリティポリシーや手順書は、標的型攻撃を予測したものではなかった。このことが今回の攻撃に対し、適切な対応ができなかった一因でもある。速やかにこの標的型攻撃に備えた明確で活用しやすい情報セキュリティポリシーや手順書を策定すべきである。