年金情報漏洩で思う「学習できない」方々
年金情報が大量に漏れた事件で、様々な意見や苦情が上がっているようです。詐欺な方々は、既に連絡も始めているようです。真摯に情報セキュリティを考えていない方々が多いような気がしています。
ピンポイントの標的型攻撃の代表事例になるような事件ですが、そもそもな部分を考えて見たいと思います。
今回の事件では、
1.添付メールを開けた
2.感染し、情報が流出した
3.ファイルにパスワードがなかった
ようです。
添付ファイルを開けた
怪しいファイルは開かないように。。。って随分と前から言われていますが、怪しくない添付ファイルならば、開かないと仕事になりません。実際にどのような状況だったのか不明ですが、ここまでの標的型攻撃ならば、文字がおかしいメールや、日本語のフォントがおかしいメール等の添付ファイルを開けるようなことはなかった。。。と思います。
早速、不審なメールや添付ファイルは開けないと指示されたそうですが、何をもって不審なものと判断すればいいのでしょうか?これ業務止まりますよ。
これ、現場を知らないマネジメントな方々が頻繁に起こす「指示は出した」的な責任回避行動にしか思えないのですが。。。後は現場のほうで。。。って、お見合いじゃないのだから、後は若い方々で・・・とは違います。
感染し、情報が流出した
ネットワークから遮断し、ウィルスチェックもかけ、検体も送ったようです。ならば、なぜに感染拡大するのか?と。
絶対はないと言われる中で、絶対の法則がウィルスにあります。コンピュータウィルスに限らず、人体に影響するウィルスも同じ順番を辿ります。
ウィルスより先に、ワクチンが出来ることはないのです。この順番が逆転するならば、また別な問題が起きてしまいますが。。。
お隣の国で感染拡大しているような人体に影響するウィルスなら、感染拡大しないための方法を念入りに行うはずです。ワクチンのない病原菌もありますが、それでも感染拡大しない為の方法は何通りもあるはずです。
一方で今回の標的型メールも、病原菌の感染拡大と同じようなレベル、しつこさで対処したのか?と思うのですが、してないからの結果なのでしょうね。
ファイルにパスワードがなかった
ファイルにパスワードって常識レベルな話と言いたいところですが、職員に手動で委ねる管理方法が信じられません。
これなんか一番簡単な話で、ファイル暗号化のシステムさえ入れれば、完璧な暗号化が出来るはずです。コストをけちった為に導入しなかったのか、運用上の問題で出来なかったのかなんとも解りませんが、いずれにしても、機械的に自動で出来る代表的なものの1つです。
職員に委ねる負担や、やってくれないリスクを考えれば、最悪外に漏れても、気の遠くなるような時間がかかるパスワードクラックに耐えられる状態は出来ていた。と言うよりも、してなかったの?とビックリな感じです。
わかっていることと、実際に出来ることは違う
結局、情報セキュリティの必要性は十分に感じているが、実際には出来ていない典型的な例です。、1人1人の大切な情報なのですが、日常の業務で大量に扱う「個人情報」を十分に慎重に扱っていると言えるのか?なんとも疑問です。
相当な注意いう言葉が法律でありますが、この相当がかなりのレベルまで求められたとしても、今回は相当以前の状況であったと感じています。
技術的な対策で出来ることすらしていなかったのは、マネジメントの話です。まともな管理すら出来ないのに、自身の保身の為ならば相当な管理が出来ているはず。まず出来ないことですが、超極端な言い方をすれば、自分の恥ずかしい写真入りのデータならば、毎回暗号化したり、徹底管理をするはずです。実際にはそんなデータを入れらる訳じゃありませんが、仮にそうならば、もっと真面目に情報セキュリティを考えていたはず。。。と思います。誰だって見られたくないものは、ありますから。。。
今回は外部攻撃ですが、昨年の大量情報漏洩事件は内部からでした。内外問わず、危険な状況にさらされている実体を本気で知らなければなりません。
情報セキュリティを、ITセキュリティと人的意識のセキュリティに別けた場合、両方の対策バランスが取れていなければ、全体のセキュリティレベルは低下します。
最後に、この学習できない方々は、今回のような機関に限った話ではなく、一般企業でも何ら変わらないことです。これが真面目にセキュリティを考える機会になり、増えてくれることを願うばかりです。