(承前)
(5)問題の全容は解明されたわけではない。3つの疑問がある。
疑問の第一、犯人は誰か? その意図は何か?
このところ、サイバー攻撃が急増している。
2011年夏、三菱重工業をはじめ、複数の防衛関連メーカー、衆議院などをターゲットに、あいついで標的型メール攻撃が発生した。その後も標的型メール攻撃は増加し、2014年に検知した標的型メール攻撃は、前年比3.5倍の1,723件に達した【警視庁】。
2014年11月、米ソニーピクチャーズエンタテインメント社に対する攻撃があった(北朝鮮の特殊部隊による)。
同年12月、韓国の原子力発電所が攻撃された(北朝鮮の特殊部隊による)。
2015年、年金機構の流出に続き、協会けんぽ(全国健康保険協会)や東京商工会議所など公共団体・組織での情報流出が発覚した。
これらは関連したものか? それとも別のものか?
標的型メール攻撃は、通常は国などの機密情報や大企業が持つ最先端技術情報を狙う、と考えられている。防衛関連メーカーやソニーの場合は意図が明確だった。
しかし、今回の被害は年金個人情報だけだ。攻撃者の真の狙いは何なのか? 流出した年金データはどのように利用されているのか?
(6)疑問の第二、被害の全容。
被害は、データ流出だけだったのか? 年金データがこっそり書き換えられてはいない、と保証できるのか?
社会保険庁のずさんな情報管理は、これまで散々指摘されてきた。年金消失がその代表だが、結局うやむやのままだ。
年金機構への改組後も、2015年5月、死亡者に総額5,000万円以上の年金が支払われていた事件が起きた。死亡者に係る年金問題は、幾つも報道されている。
今回の被害の全容が分からないとすれば、われわれの年金は当てにならないデータに基づいて支給されていることになるはずだ。
(7)疑問の第三、今後のセキュリティ対策。
政府は、マイナンバー制度開始(2016年1月)を前に、情報流出対策を急いでいる。自治体のセキュリティを監督する専門部署を設置し、中央官庁と自治体を結ぶネットワークにも不正通信を監視する組織を設け、NISCと連携してサイバー攻撃に備える、という。
こうした対策は確かに必要だ。しかし、十分ではない。それが、今回の事件の教訓だ。
今回の事件では、2つの組織がめざましい働きをした。
(a)NISC・・・・不正な通信が開始された段階で検知。
(b)警視庁・・・・短期間で被害環境を調べ上げ、踏み台とされたサーバーを特定、確保、分析した。
しかし、政府組織全体としては、これらをうまく活用できなかったのだ。不正通信があったのに、感染したパソコンをネットにつないだままにして感染を広げた。しかも、侵入があってから何週間もろくな対策が取られず、責任者にも通報されていなかった。
要するに、
システムがいくらよくできていても、どこかでずさんな運営が行われていれば、全体は脆弱
なのだ。政府は、「日本再興戦略」の中で、第四次産業革命に乗り遅れるな、としている。しかし、そこに至る道のりは極めて厳しい。
□野口悠紀雄「年金機構の情報漏えいから何を学ぶべきか? ~「超」整理日記No.769~」(「週刊ダイヤモンド」2015年8月08・15日号)
↓クリック、プリーズ。↓
【参考】
「【年金機構】の情報漏洩から学ぶこと(1) ~経緯~」
「【官僚】「年金個人情報」流出を3週間も放置 ~無責任体質~」
(5)問題の全容は解明されたわけではない。3つの疑問がある。
疑問の第一、犯人は誰か? その意図は何か?
このところ、サイバー攻撃が急増している。
2011年夏、三菱重工業をはじめ、複数の防衛関連メーカー、衆議院などをターゲットに、あいついで標的型メール攻撃が発生した。その後も標的型メール攻撃は増加し、2014年に検知した標的型メール攻撃は、前年比3.5倍の1,723件に達した【警視庁】。
2014年11月、米ソニーピクチャーズエンタテインメント社に対する攻撃があった(北朝鮮の特殊部隊による)。
同年12月、韓国の原子力発電所が攻撃された(北朝鮮の特殊部隊による)。
2015年、年金機構の流出に続き、協会けんぽ(全国健康保険協会)や東京商工会議所など公共団体・組織での情報流出が発覚した。
これらは関連したものか? それとも別のものか?
標的型メール攻撃は、通常は国などの機密情報や大企業が持つ最先端技術情報を狙う、と考えられている。防衛関連メーカーやソニーの場合は意図が明確だった。
しかし、今回の被害は年金個人情報だけだ。攻撃者の真の狙いは何なのか? 流出した年金データはどのように利用されているのか?
(6)疑問の第二、被害の全容。
被害は、データ流出だけだったのか? 年金データがこっそり書き換えられてはいない、と保証できるのか?
社会保険庁のずさんな情報管理は、これまで散々指摘されてきた。年金消失がその代表だが、結局うやむやのままだ。
年金機構への改組後も、2015年5月、死亡者に総額5,000万円以上の年金が支払われていた事件が起きた。死亡者に係る年金問題は、幾つも報道されている。
今回の被害の全容が分からないとすれば、われわれの年金は当てにならないデータに基づいて支給されていることになるはずだ。
(7)疑問の第三、今後のセキュリティ対策。
政府は、マイナンバー制度開始(2016年1月)を前に、情報流出対策を急いでいる。自治体のセキュリティを監督する専門部署を設置し、中央官庁と自治体を結ぶネットワークにも不正通信を監視する組織を設け、NISCと連携してサイバー攻撃に備える、という。
こうした対策は確かに必要だ。しかし、十分ではない。それが、今回の事件の教訓だ。
今回の事件では、2つの組織がめざましい働きをした。
(a)NISC・・・・不正な通信が開始された段階で検知。
(b)警視庁・・・・短期間で被害環境を調べ上げ、踏み台とされたサーバーを特定、確保、分析した。
しかし、政府組織全体としては、これらをうまく活用できなかったのだ。不正通信があったのに、感染したパソコンをネットにつないだままにして感染を広げた。しかも、侵入があってから何週間もろくな対策が取られず、責任者にも通報されていなかった。
要するに、
システムがいくらよくできていても、どこかでずさんな運営が行われていれば、全体は脆弱
なのだ。政府は、「日本再興戦略」の中で、第四次産業革命に乗り遅れるな、としている。しかし、そこに至る道のりは極めて厳しい。
□野口悠紀雄「年金機構の情報漏えいから何を学ぶべきか? ~「超」整理日記No.769~」(「週刊ダイヤモンド」2015年8月08・15日号)
↓クリック、プリーズ。↓
【参考】
「【年金機構】の情報漏洩から学ぶこと(1) ~経緯~」
「【官僚】「年金個人情報」流出を3週間も放置 ~無責任体質~」
トータル
