さらに「流出件数」増加も・・・日本年金機構・理事長(15/06/03)
年金情報流出問題 年金機構、問い合わせ電話回線増やし対応へ(15/06/04)
2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。
既に多数のメディアで報じられている通り、日本年金機構は6月1日、年金加入者の個人情報約125万件が漏えいしたことを発表した。少なくとも現時点での内訳は、「基礎年金番号と氏名」の組み合わせが約3.1万件、「基礎年金番号と氏名、生年月日」の組み合わせが約116.7万件、「基礎年金番号、氏名、生年月日と住所」の組み合わせが約5.2万件で、該当する個人については基礎年金番号を変更し、対応するという。
直接的な原因は、標的型攻撃メールを受け取った職員が添付ファイルを開き、マルウエアに感染したことだと説明されている。このマルウエアがLANを介して活動を広げ、ファイル共有サーバーから個人情報を盗み出し、外部に送信したという。
しかしより根本的には、同機構のシステム設計や運用に原因があったと考えられる。
元々年金加入者に関する個人情報は、基幹システム(社会保険オンラインシステム)上でのみ扱われる原則となっていた。やむを得ず、インターネットと接続可能な情報系システムにCD-ROMを用いてコピーする際には、パスワードを使って保護するというポリシーが設けられていたという。
しかし、このポリシーを実施するかどうかは現場の担当者に委ねられ、システム的に担保する仕組みとはなっていなかった。もし例外的な運用が常態化するのであれば、ポリシーが強制的(自動的)に実行されるシステムを、相応の投資をしてでも導入すべきだろう。あるいは、目的と利便性のバランスが取れるようにポリシーそのものを見直すか、運用手順や業務プロセスの方を見直し、ルールを実態に即したものとしていくべきところだ。だが複数の報道によると、「なぜそのポリシーがあるのか」という目的(例えば「個人情報を守るため)を理解した上で運用されておらず、ポリシーが形骸化していた恐れがある。
もう一つの問題は、昨今の脅威の高度化、巧妙化にセキュリティ対策が追いついていなかったこと。具体的には「不正侵入は起こり得る」という前提で、定期的なログ解析や監視を含むセキュリティ運用がなされていなかったように見えることだ。日本年金機構がマルウェア感染を初めて確認したのは5月8日。これを踏まえて職員に対する注意喚起と外部調査を依頼したが、その後5月18日までの間に複数回の不正な通信を検知し、28日になって情報流出が判明したという。
だがもし、不正侵入が起こりうることを前提にしてネットワークを常時、あるいは定期的に監視する仕組みがあれば、内部で侵入が広がり、情報の外部送信という致命的な事態に達する前に、ネットワーク接続の遮断などのしかるべき対策を打てた可能性がある。また、いざという時の緊急手順を定めておけば、レスポンスをより迅速に行えたかもしれない。
日本年金機構に経緯ならびにこれらの点についてコメントを求めたが、現時点では回答は得られていない。標的型攻撃では、感染端末の特定と流出した情報の全貌を把握するのに時間がかかることが常であり、引き続き調査が進められていると思われる。
(以下略)
日本年金機構の情報漏えい、必要なのは「再発防止」ではない
@IT 6月3日(水)12時50分配信
http://headlines.yahoo.co.jp/hl?a=20150603-00000050-zdn_ait-sci
2015/06/03 22:26
再発防止は必要だけど、国民が思っているのは、この組織には「再発防止は無理」ということだと思う。
2015/06/03 19:42
自由に外部からのメールの送受信が出来たり、インターネットの閲覧ができるような環境と
年金情報等の極秘データベースにアクセスできる環境が同じなのが問題のような気がします
小さい会社のうちでさえ、機密情報を扱う端末のネットワークは隔離されていますよ
これからマイナンバーを導入する行政が、こんな甘い体制では
個人情報の管理なんて無理なんじゃないですか?
2015/06/03 16:16
そもそも職員のメアドがどうして漏れたのか
そこに触れた記事あったっけ?
不思議
2015/06/03 16:25
この記事に書いてあるように侵入された時にすぐに対応できる人材とシステムを作ることは大切です。
しかし、だからといって今回の件の責任はちゃんと取るべきです。パスワードをかけないのは完全にその職員の落ち度です。
無意味な研修をおじさんたちに受けさせるくらいなら、セキュリティに精通した人材を雇ってください。どうせおじさんとかは研修受けても何もできやしないのですから。
2015/06/03 17:51
メールやりとりするような雑務PCに機密情報を
入れておく方がおかしい。
2015/06/04 04:46
人的ミスなので再発は防げない。
2015/06/03 13:14
サイバー攻撃と言い張るのは
政府の圧力?
2015/06/04 07:10
コンピュータウィルス感染に対する対応と対策は信じられない。一般の企業では考えられない。
感染が分かったら直ぐに全てのPCをネットワークから外すというのは常識だがやっていない。影響調査も一般企業だと徹夜で一両日中には分かる。発表まで一月近くかかるというのは、嘘であり誤魔化す方法を模索していたか、何かを隠す為に発表している。
このニュース以外の事に注視しなければならない。
2015/06/03 16:41
システム構成も扱う人間のセキュリティ教育も全くなっちゃいない感じですよね。
いくらシステムを強固にしたところで、
扱う人間のセキュリティ意識が低かったら、どうしようもないよ。
2015/06/03 14:29
役職員の賞与を返上させて、個人情報保護に予算を充てろ!
2015/06/04 08:14
情報が漏れようが振り込め詐欺に悪用されようが天下りどもには屁でもありませんよ・・・。
2015/06/03 13:06
まあ、結論は「ごめんなさい。今度から気を付けます。責任、責任、誰も取りませんよ。何、非常識なことを言うんですか。僕らは監督者ですよ。大丈夫、僕らの年金は、しっかりガードしてますから。以前、漏れたのも国民の皆さんのでしょ。僕らのは恩給も付きますから。」
2015/06/03 13:30
「個人情報データを使う作業をネットにつながるパソコンでおこなう」「職員どうしでのやりとりだし面倒だからパスワードをかけない」「メールの添付ファイルをあっさり開く」....。もうね、再発防止策を練っても職員がバカではムダでしょ。一罰百戒、今回の原因を作った職員はクビにしないと全職員にコトの重大さが伝わらないよ。
まぁ、発表してた理事長からして他人事みたく、まるで厚生労働省の役人がたしなめるような口調で話してるくらいだから当事者意識、危機感がゼロ。
誰が機構を狙ったのかわからんがすくなくとも機構のトップは責任をとらされるだろう、
2015/06/03 17:55
誰も責任を取らないし
補償もないのもおかしいのでは?
民間だったら逮捕者が出たり会社ごとつぶれてもおかしくないですよね?
国は国民に甘えすぎでは?
こういった日本の報道や挙動は海外でも当然把握されます。
セキュリティ問題のみならず、
日本は政府も官僚も国民もこの程度の国、
と思われて恥ずかしくないひとがいるでしょうか?
2015/06/03 17:58
何もかも含めて、所詮「お役所仕事」でしかない。
こいつらに「他人の情報」を守る気なんて端からないよ。
2015/06/03 14:05
厚労相からのメールの文面を巧妙に真似てみたり
セキュリティの脆弱さを知っていたりで
内部犯疑惑も一部で浮上してるけどな。
2015/06/03 21:23
インターネット接続のPCに機密情報データを鍵無しで置いたり
勤務中に怪しいcookieを読み込ませる2ちゃんねるに書いたり
事故どうこうと言うか認識の甘さが原因だから。
どうせスパムが来た理由も勤務用に職場のPCで
2ちゃんの閲覧や投稿でもしたんじゃないの?
年金機構情報流出 2ちゃんねるに「感染した」と投稿 公表4日前、機構職員か?
「あれほど、差出人不明メールは開封するな、と警告があったのに、、、」 職員も自ら認める、日本年金機構のお粗末すぎ
既に多数のメディアで報じられている通り、日本年金機構は6月1日、年金加入者の個人情報約125万件が漏えいしたことを発表した。少なくとも現時点での内訳は、「基礎年金番号と氏名」の組み合わせが約3.1万件、「基礎年金番号と氏名、生年月日」の組み合わせが約116.7万件、「基礎年金番号、氏名、生年月日と住所」の組み合わせが約5.2万件で、該当する個人については基礎年金番号を変更し、対応するという。
直接的な原因は、標的型攻撃メールを受け取った職員が添付ファイルを開き、マルウエアに感染したことだと説明されている。このマルウエアがLANを介して活動を広げ、ファイル共有サーバーから個人情報を盗み出し、外部に送信したという。
しかしより根本的には、同機構のシステム設計や運用に原因があったと考えられる。
元々年金加入者に関する個人情報は、基幹システム(社会保険オンラインシステム)上でのみ扱われる原則となっていた。やむを得ず、インターネットと接続可能な情報系システムにCD-ROMを用いてコピーする際には、パスワードを使って保護するというポリシーが設けられていたという。
しかし、このポリシーを実施するかどうかは現場の担当者に委ねられ、システム的に担保する仕組みとはなっていなかった。もし例外的な運用が常態化するのであれば、ポリシーが強制的(自動的)に実行されるシステムを、相応の投資をしてでも導入すべきだろう。あるいは、目的と利便性のバランスが取れるようにポリシーそのものを見直すか、運用手順や業務プロセスの方を見直し、ルールを実態に即したものとしていくべきところだ。だが複数の報道によると、「なぜそのポリシーがあるのか」という目的(例えば「個人情報を守るため)を理解した上で運用されておらず、ポリシーが形骸化していた恐れがある。
もう一つの問題は、昨今の脅威の高度化、巧妙化にセキュリティ対策が追いついていなかったこと。具体的には「不正侵入は起こり得る」という前提で、定期的なログ解析や監視を含むセキュリティ運用がなされていなかったように見えることだ。日本年金機構がマルウェア感染を初めて確認したのは5月8日。これを踏まえて職員に対する注意喚起と外部調査を依頼したが、その後5月18日までの間に複数回の不正な通信を検知し、28日になって情報流出が判明したという。
だがもし、不正侵入が起こりうることを前提にしてネットワークを常時、あるいは定期的に監視する仕組みがあれば、内部で侵入が広がり、情報の外部送信という致命的な事態に達する前に、ネットワーク接続の遮断などのしかるべき対策を打てた可能性がある。また、いざという時の緊急手順を定めておけば、レスポンスをより迅速に行えたかもしれない。
日本年金機構に経緯ならびにこれらの点についてコメントを求めたが、現時点では回答は得られていない。標的型攻撃では、感染端末の特定と流出した情報の全貌を把握するのに時間がかかることが常であり、引き続き調査が進められていると思われる。
(以下略)
日本年金機構の情報漏えい、必要なのは「再発防止」ではない
@IT 6月3日(水)12時50分配信
http://headlines.yahoo.co.jp/hl?a=20150603-00000050-zdn_ait-sci
2015/06/03 22:26
再発防止は必要だけど、国民が思っているのは、この組織には「再発防止は無理」ということだと思う。
2015/06/03 19:42
自由に外部からのメールの送受信が出来たり、インターネットの閲覧ができるような環境と
年金情報等の極秘データベースにアクセスできる環境が同じなのが問題のような気がします
小さい会社のうちでさえ、機密情報を扱う端末のネットワークは隔離されていますよ
これからマイナンバーを導入する行政が、こんな甘い体制では
個人情報の管理なんて無理なんじゃないですか?
2015/06/03 16:16
そもそも職員のメアドがどうして漏れたのか
そこに触れた記事あったっけ?
不思議
2015/06/03 16:25
この記事に書いてあるように侵入された時にすぐに対応できる人材とシステムを作ることは大切です。
しかし、だからといって今回の件の責任はちゃんと取るべきです。パスワードをかけないのは完全にその職員の落ち度です。
無意味な研修をおじさんたちに受けさせるくらいなら、セキュリティに精通した人材を雇ってください。どうせおじさんとかは研修受けても何もできやしないのですから。
2015/06/03 17:51
メールやりとりするような雑務PCに機密情報を
入れておく方がおかしい。
2015/06/04 04:46
人的ミスなので再発は防げない。
2015/06/03 13:14
サイバー攻撃と言い張るのは
政府の圧力?
2015/06/04 07:10
コンピュータウィルス感染に対する対応と対策は信じられない。一般の企業では考えられない。
感染が分かったら直ぐに全てのPCをネットワークから外すというのは常識だがやっていない。影響調査も一般企業だと徹夜で一両日中には分かる。発表まで一月近くかかるというのは、嘘であり誤魔化す方法を模索していたか、何かを隠す為に発表している。
このニュース以外の事に注視しなければならない。
2015/06/03 16:41
システム構成も扱う人間のセキュリティ教育も全くなっちゃいない感じですよね。
いくらシステムを強固にしたところで、
扱う人間のセキュリティ意識が低かったら、どうしようもないよ。
2015/06/03 14:29
役職員の賞与を返上させて、個人情報保護に予算を充てろ!
2015/06/04 08:14
情報が漏れようが振り込め詐欺に悪用されようが天下りどもには屁でもありませんよ・・・。
2015/06/03 13:06
まあ、結論は「ごめんなさい。今度から気を付けます。責任、責任、誰も取りませんよ。何、非常識なことを言うんですか。僕らは監督者ですよ。大丈夫、僕らの年金は、しっかりガードしてますから。以前、漏れたのも国民の皆さんのでしょ。僕らのは恩給も付きますから。」
2015/06/03 13:30
「個人情報データを使う作業をネットにつながるパソコンでおこなう」「職員どうしでのやりとりだし面倒だからパスワードをかけない」「メールの添付ファイルをあっさり開く」....。もうね、再発防止策を練っても職員がバカではムダでしょ。一罰百戒、今回の原因を作った職員はクビにしないと全職員にコトの重大さが伝わらないよ。
まぁ、発表してた理事長からして他人事みたく、まるで厚生労働省の役人がたしなめるような口調で話してるくらいだから当事者意識、危機感がゼロ。
誰が機構を狙ったのかわからんがすくなくとも機構のトップは責任をとらされるだろう、
2015/06/03 17:55
誰も責任を取らないし
補償もないのもおかしいのでは?
民間だったら逮捕者が出たり会社ごとつぶれてもおかしくないですよね?
国は国民に甘えすぎでは?
こういった日本の報道や挙動は海外でも当然把握されます。
セキュリティ問題のみならず、
日本は政府も官僚も国民もこの程度の国、
と思われて恥ずかしくないひとがいるでしょうか?
2015/06/03 17:58
何もかも含めて、所詮「お役所仕事」でしかない。
こいつらに「他人の情報」を守る気なんて端からないよ。
2015/06/03 14:05
厚労相からのメールの文面を巧妙に真似てみたり
セキュリティの脆弱さを知っていたりで
内部犯疑惑も一部で浮上してるけどな。
2015/06/03 21:23
インターネット接続のPCに機密情報データを鍵無しで置いたり
勤務中に怪しいcookieを読み込ませる2ちゃんねるに書いたり
事故どうこうと言うか認識の甘さが原因だから。
どうせスパムが来た理由も勤務用に職場のPCで
2ちゃんの閲覧や投稿でもしたんじゃないの?
年金機構情報流出 2ちゃんねるに「感染した」と投稿 公表4日前、機構職員か?
「あれほど、差出人不明メールは開封するな、と警告があったのに、、、」 職員も自ら認める、日本年金機構のお粗末すぎ
| 情報漏洩 9割はあなたのうっかりミス―今日からはじめる防衛術 | |
 | 日本経済新聞出版社 中田 亨 2013-09-21 ランキング : 84761 Amazonの商品情報を見る by amapola |
| お役所しごと入門 (日経プレミアシリーズ) | |
 | 日本経済新聞出版社 山田 咲道 2013-01-24 ランキング : 444062 Amazonの商品情報を見る by amapola |
![週刊少年マガジン 2015年27号[2015年6月3日発売] [雑誌]](http://ecx.images-amazon.com/images/I/61KCEeUbfiL._SL160_.jpg)
![週刊アスキー No.1031 (2015年6月2日発行)<週刊アスキー> [雑誌]](http://ecx.images-amazon.com/images/I/51f9iEJghcL._SL160_.jpg)
