この一件はメール添付型ウィルスによる感染が原因であるが、現状のインターネットありきのインフラ構築では、ウイルスに対する万全な方策はあり得無い。
運転免許証などの個人データを管理する警察庁では、職員が業務で使う端末はインターネットやメールに使用できず、外部と完全に遮断されている。
課長補佐以上にはパソコンが貸与されており、外部とのメールにはこのパソコンを使う。
担当者は「端末を分けるのは原始的だが最も効果的な防御策」である。このもっとも原始的であるが、もっとも効果的な仕組みになっていないことが今回の日本年金機構における漏えいの最大の要因である。
国税庁でも納税者情報を扱う職員のパソコンはネットと分離されており「機構のような情報流出はありえない」とコメントされている。(産経新聞 6月6日(土)7時55分配信より)
「内閣サイバーセキュリティセンター(NISC)」が各府省庁に情報セキュリティー対策として策定した統一基準では、情報の機密性ごとに3段階に区分し、機密性の高い「3」の対象はネットに接続しない媒体で保存。暗号化して保護することと規定している。
個人情報など「国民の権利が侵害される情報」は「2」に区分されるが、国土交通省では独自に個人情報を含めた機密性2以上の情報をパソコンに保存する際は、暗号化やパスワード設定を義務付けているという。
こうしたことを踏まえて考えれば、
1、ネット環境とデータ環境の分離
2、暗号化
3、セキュリティ環境の監査と改善
というセキュリティの基本中の基本の3点が欠落していたと言えよう。
同日記事の中には、NISCが平成25年、18省庁の職員約18万人を対象に標的型メールの訓練を実施したところ、添付ファイルを開封した職員は1割を超えた。
担当者は「メール自体の内容が巧妙化しており、意識の高まりだけでウイルス感染を完全に防ぐのは難しい」としている。
と掲載されている。巧妙化するウィルスメール対策を「意識任せ」では防ぎきれないことを自覚する必要があるだろう。
前衆議院議員 中丸 啓
次回は、「マイナンバー制度実施導入にあたっての提言」を連載していくことにする。