日本年金機構の情報流出事件は、今後の電子政府関連の政策に極めて大きな影響を与えそうです。場合によってはマイナンバー制度にも待ったの声がかかる可能性が出てきました。
キーワードを濫用すると問題の本質が見えにくくなる
今回の事件によって、年金機構のセキュリティ対策があまりに杜撰だったことや、ウイルスによる被害が発覚した後の対応にも多くの不備があったことが明らかになっています。
年金機構に対して批判の声が集中するのは当然のことなのですが、こうした状況は同機構だけの問題ではないと思われます。多かれ少なかれ、日本の組織全体に共通するものといってよいでしょう。なぜなら日本の組織はこうした緊急事態への対応があまりにも形式的になっているからです。
今回の流出事件に対しては早くも「標的型攻撃にどう対応すべきなのか」といった議論が出てきています。日本人は暗記の勉強が大好きなせいか、何かにつけてキーワードを多用しがちです。
「標的型攻撃」というのは、特定の組織や個人を狙って行われるサイバー攻撃のことを指すのですが、あまりにもキーワードばかり使っていると、事の本質を見失ってしまいます。
何々型などという分類する以前の問題として、こうしたサイバー犯罪には、そもそも2つの種類があるというのは常識なはずです。
ひとつは、いゆわる愉快犯で、偶然に見つけたセキュリティの穴を突破し、それで満足するタイプの犯罪です。これは相手が誰でも構いません。とにかく脆弱な部分を見つけてはそこにアタックするわけです。サイバー犯罪のほとんどがこのタイプに属しますし、一般的なセキュリティ対策というのは、こうした侵入者を前提にしています。
しかしサイバー犯罪にはもうひとつのタイプが存在します。それは特定の個人や組織にターゲットを絞った攻撃で、目的を持ってシステムにしてくるタイプのものです。レベルの高いものになると、外国の軍隊による組織的な攻撃もこれに含まれます。
本気で狙われた場合、よほどの対策がないと防御できないというのが現実
残念ながら、こうした組織的な攻撃の対象となった場合には、完全に防御する方法というものは存在しません。それなりの資金や人員を持った組織が、本気である組織のシステムに侵入しようと思えば、かなりの確率で成功させることができるでしょう。
つまりネット上のセキュリティというのは、ほとんどが不特定にシステムを攻撃する愉快犯を対象としたものであり、そうではなく、本気でシステムを狙われた時には逃れようがないというのが現実なのです。本来であれば、システムを運用する人は、こうした事実をよく認識しておく必要があります。
今回の犯人がどのような組織なのか分かりませんが、もし年金機構をあらかじめ狙ったものであれば、相当の対策をしなければ完全に防ぐことはできません。
しかし、この問題を「標的型攻撃に対処するには」といったキーワード的、お勉強的な話にすり替えてしまうと、本質的な問題が見えにくくなります。今回のケースへの対応策ばかりが議論され、今度は人の部分に依存する抜け穴が放置されるというような事態にもなりかねないのです。
本来、こうした重要情報をシステム化するには、意図を持って攻撃されることを最初から想定する必要があります。それはシステムのセキュリティだけの問題にとどまるものではありません。相手はゴミ箱から重要情報を探し出すかもしれませんし、職員の私生活のトラブルを突破口にするかもしれません。
そうしたこともすべて考慮に入れたで、攻撃から守るための仕組みの構築にどれかけお金がかかるのかを考える必要が出てきます。費用対効果によっては、無理に情報の集約化やシステム化をしない方がよいというケースもあるわけです。
今回の対応策の構築に際して、このような視点が反映されるのか非常に怪しい状況です。いい加減、想定外だったというセリフは聞きたくないものです。