カシンです。これは、アタシ(50代・男)が世の中を眺めていて思ったことを書くブログです。
今週は、今年 3/5 に LINEヤフーが行政指導を受けた件について、ウェブ検索で調べたことを書いています。
まず、行政指導本文そのものは、総務省のサイトに公開されています。ウェブページ中、「別紙」としてリンクしてある PDF ファイルが本文です。
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000224.html
「通信の秘密の保護及びサイバーセキュリティの確保の徹底について(指導)」という、総務省担当者から LINEヤフー CEO に宛てた文書です。
10 ページにわたる文書です。章わけされていて、それぞれ表題がついています。表題を抜き出すと文書の要約になってます。
1.「事案の概要」では。技術面の業務委託先 NAVER Cloud (の子会社) でのマルウェア感染から NAVER Cloud の管理者権限が外部のものに奪取され。そこから LINE のサーバに不正アクセスされた (通信の秘密の漏洩)。この部分は LINEヤフー自身の、総務省への報告の要約です。
2.「事案発生の要因」では。(1) 契約上は「業務委託」としているものの、LINE システムは事実上、NAVER Cloud システムと一体だった。
普通、A 社が従業員情報の管理を B 社に委託した場合。委託された B 社では、B 社の従業員情報と A 社の従業員情報を別々に管理することが期待されるわけですが。これが一緒になってた。
(2) つまり、(日本にある) LINE のサーバは、事実上、(韓国にある) NAVER Cloud の社内にあるようにネットワーク接続されていたので、NAVER Cloud (の子会社) の社員の機器のマルウェア感染が、即 LINE サーバへの不正アクセスに繋がった (加えて、通常とられるべき社内での防護策もまるで導入されてなかった)。
(3) 委託先の危険を委託元に持ち込まないことは当然として、LINE 側で当然とるべき防護策の導入も、その部分を業務委託するからには、委託契約に入ってないといけない。それを入れてなかった。これは委託元 (LINEヤフー側) の問題。
(4) なぜ委託契約に「委託先がちゃんとやること」が入ってないかというと。技術面をまるまる NAVER 側に依存している上に、LINEヤフーの親会社の株式の半分を NAVER 側が保有していて、そもそも委託元 (LINE側) が委託先 (NAVER側) にものごとを要求できない体制になってるから。
と、総務省は分析しています。
ここまでが行政指導文書の 4 ページ目までです。
法律上は、私たちが安心して電気通信事業者を利用できるように、総務省が事業者を監督して。事業者は、業務委託するなら、事業者が委託先を監督する責任があります。
LINEヤフーの言い分は「委託先がやった」「委託先は株主なので監督はできない」「だからセキュリティに責任は持てない」ということなわけです。
そんな言い訳は通用しません、と総務省が怒り出すのも無理もないようにアタシは思います。
つづく
* * *
お読みいただきありがとうございます。
今回は、その行政指導の中身について、全体の文脈の中でどういうことなのか、見ていきたいと思います。
まず、行政指導本文そのものは、総務省のサイトに公開されています。ウェブページ中、「別紙」としてリンクしてある PDF ファイルが本文です。
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000224.html
「通信の秘密の保護及びサイバーセキュリティの確保の徹底について(指導)」という、総務省担当者から LINEヤフー CEO に宛てた文書です。
10 ページにわたる文書です。章わけされていて、それぞれ表題がついています。表題を抜き出すと文書の要約になってます。
- 事案の概要
- 事案発生の要因。(1) システムネットワーク構成等に係るNAVER社側への強い依存、(2) 不十分な技術的安全措置、(3) 業務委託先の不適切な管理監督、(4) セキュリティガバナンスの不備
- 注意事項
- 指導事項。(1) 本事案を踏まえた安全管理措置及び委託先管理の抜本的な見直し及び対策の強化について、(2) 親会社等を含むグループ全体でのセキュリティガバナンスの本質的な見直し及び強化について、(3) 利用者対応の徹底について。
1.「事案の概要」では。技術面の業務委託先 NAVER Cloud (の子会社) でのマルウェア感染から NAVER Cloud の管理者権限が外部のものに奪取され。そこから LINE のサーバに不正アクセスされた (通信の秘密の漏洩)。この部分は LINEヤフー自身の、総務省への報告の要約です。
2.「事案発生の要因」では。(1) 契約上は「業務委託」としているものの、LINE システムは事実上、NAVER Cloud システムと一体だった。
普通、A 社が従業員情報の管理を B 社に委託した場合。委託された B 社では、B 社の従業員情報と A 社の従業員情報を別々に管理することが期待されるわけですが。これが一緒になってた。
(2) つまり、(日本にある) LINE のサーバは、事実上、(韓国にある) NAVER Cloud の社内にあるようにネットワーク接続されていたので、NAVER Cloud (の子会社) の社員の機器のマルウェア感染が、即 LINE サーバへの不正アクセスに繋がった (加えて、通常とられるべき社内での防護策もまるで導入されてなかった)。
(3) 委託先の危険を委託元に持ち込まないことは当然として、LINE 側で当然とるべき防護策の導入も、その部分を業務委託するからには、委託契約に入ってないといけない。それを入れてなかった。これは委託元 (LINEヤフー側) の問題。
(4) なぜ委託契約に「委託先がちゃんとやること」が入ってないかというと。技術面をまるまる NAVER 側に依存している上に、LINEヤフーの親会社の株式の半分を NAVER 側が保有していて、そもそも委託元 (LINE側) が委託先 (NAVER側) にものごとを要求できない体制になってるから。
と、総務省は分析しています。
ここまでが行政指導文書の 4 ページ目までです。
法律上は、私たちが安心して電気通信事業者を利用できるように、総務省が事業者を監督して。事業者は、業務委託するなら、事業者が委託先を監督する責任があります。
LINEヤフーの言い分は「委託先がやった」「委託先は株主なので監督はできない」「だからセキュリティに責任は持てない」ということなわけです。
そんな言い訳は通用しません、と総務省が怒り出すのも無理もないようにアタシは思います。
つづく
* * *
お読みいただきありがとうございます。