新たに二つの報道が出た。順に示そう。
(1) 電子メールの使用禁止
年金機構が「電子メールの使用禁止」という方針を打ち出した。冗談みたいだが、本当。
125万人の年金個人情報が流出した問題で、日本年金機構は6月5日、職員が外部向けに電子メールを使用するのを禁止したことを明らかにした。期間は「当面の間」。「万一の流出を避けるため」という。
流出を受け、6日と7日は「休日年金相談」を全国の年金事務所で行う。
( → ITmedia ニュース )
「あつものに懲りてなますを吹く」みたいだが、もっとひどい。これでは全然、対処になっていない。たとえば、電子メールをやめて FAX を使っても、感染は止まらない。こんな感じ。
「 FAX で URL を記しますから、その URLにアクセスして、ファイルをダウンロードしてください」
「わかりました」
これでダウンロードすれば、また感染が起こる。そのあとで、不思議がる。
「電子メールを禁止したし、添付ファイルも使わないのに、なぜだ!」
あまりにも馬鹿馬鹿しくて、お笑いにしかならない。問題の根源がどこにあるかわかっていないからだ。
これはもう、組織そのものが狂っている(というか愚劣というか)。どうしようもないね。
(2) ウイルス感染後の対応
ウイルス感染後の対応に問題があったことがわかった。
厚生労働省は最初の不正アクセスがあった5月8日から17日間、担当係長までで対応していたことがわかった。
機構九州ブロック本部の職員のパソコンがウイルス感染し、不正アクセスがあった5月8日には、厚労省年金局の担当係長が異常を検知した「内閣サイバーセキュリティセンター」(NISC)から連絡を受けた。係長は機構側に感染したパソコンと個人情報が入った「情報系システム」を結ぶLANケーブルを抜くことなどを指示。ただ、上司には報告しなかった。
その後もサイバー攻撃は続き、機構は19日になって警視庁に相談して捜査を依頼。この情報も係長に伝えられたが、上司には話さなかった。担当課長や樽見審議官に問題発生の報告が伝わったのは25日だった。
( → 朝日新聞 2015-06-05 )
ここでは二つの問題がわかる。
・ 係長が情報を報告しなかったこと。
・ 内閣サイバーセキュリティセンターが放置したこと
この二つは、いずれも組織の問題だ。
(i) 係長が重要情報として報告する体制ができていなかった。特に、報告先が上司だけであって、「省内のセキュリティ部門に報告する」という体制がなかった。
(ii) 内閣サイバーセキュリティセンターは、年金機構に情報を提供するだけで、対処を丸投げした。つまり、内閣サイバーセキュリティセンターが報告するべきセキュリティ機構が存在しなかった。
──
さて。以上の (1)(2) の報道を受けて、考えてみよう。問題はどこにあるか? それは、こうだ。
「情報のセキュリティについての担当組織が存在しない」
ただし注意。セキュリティについて研究する組織がないわけではない。産総研では高木浩光氏が研究している。また、IPA もセキュリティについての情報を提供している。
→ IPA 独立行政法人 情報処理推進機構
しかしながら、これらの部門には、大切なものが欠けている。それは、「権限」だ。つまり、各省庁の情報部門を(セキュリティについて)指揮するだけの権限だ。
では、そのような権限を、IPA に与えればいいか? いや、それだけでは無理だろう。「口うるさく指導する」というだけの体制では、肝心の担当部局から疎んじられるだけだ。なぜなら、馬鹿には利口が邪魔に見えるだけだからだ。「うるせえ。ほっといてくれ。口うるさくするなら、出て行ってくれ」となるに決まっている。
そこで、私の提案は、こうだ。
・ IT省を設置する。
・ その地位は、他の省庁と同程度とする。
・ その仕事の内容は、企業の情報システム担当者と同様。
つまり、組織全体の情報システムの全権限を担う。
現状では、行政組織が上で、情報システム管理は「発注した業者任せに命令して委ねる」という形だ。業者はあくまで、お客様である行政組織のいうことを聞くだけだ。
私の提案では、情報システムに関する限り、IT省が上位に立つ。政府の行政組織は、IT省の指示のもとで、パソコンを使わせてもらえるだけだ。指示に反するような使い方をしたら、「使い方ミス」を指摘される。その後、行政組織のトップから処分が下される。(省内規則違反による行政ミスとして、停職1週間、みたいな処分だ。)
──
これを今回の例に当てはめよう。
まず、内閣サイバーセキュリティセンターが検知した時点で、情報はIT省に行く。IT省の「年金機構の担当者」から、年金機構のミスを検出する。すると、どこが悪かったかという原因が判明し、このあとどうするべきかという対処も出される。……ここでは、年金機構の係長の出る幕はない。あくまでITの専門家がすべてを処理する。
そのあと、改めて、正しい使い方を講習する。この講習は、年金機構だけでなく、政府の全組織が対象だ。また、講習内容は、本サイトの下記項目と同様でいいだろう。
→ 添付ファイルへの対策
→ ウイルスメール対策 2
→ ウイルスメール対策 3
→ ウイルスメール対策 4
以上は、職員向けの対策だ。
それとは別に、システム全体も変更する。重要情報が外部に漏れないように、情報を遮断させる。(物理的に経路を作らない。USB などで流出させる輩が出るとしたら、そうしないように講習する。)
また、何らかの形で外部に出たら、それをチェックする。たとえば、今回の例で言えば、外部サーバーに一時的に情報が漏れたようだが、こういうことがあればただちに検出するように、外部サーバーを常時チェックする体制を構築する。
ともあれ、このような形で、情報のセキュリティについてはIT省が全責任と全権限を持つようにするべきだ。つまり、専門家が責任と権限をもつようにするべきだ。
現状は? 素人が牛耳っている。だから、冒頭の「電子メール禁止」なんていう冗談みたいな方針に走る。素人が権限を握ると、こういうとんでもない事態が起こる。
ゆえに、素人ではなく専門家が、責任と権限をもつようにするべきだ。そして、そのために、専門の省庁が必要なのである。
これは本質的には、組織設計の問題だ。
【 関連項目 】
この件は、前にもちょっと論じたことがある。
「内閣官房情報セキュリティセンター(NISC)」というものがあるが、権限がなくて、ほとんど無視されている……というような話。
→ Google and Me ブログ: ウイルスで情報漏れ
[ 余談 ]
全然関係のなさそうな話だが、次の報道もある。
→ 組み体操の事故多発で安全対策は
組み体操で大事故が多発しており、専門家は「中止を」と呼びかけている。(安全性 secutiry の観点から。)
しかるに文科省は責任を取らず、ただの談話しか出さない。
文部科学省スポーツ・青少年局の日向信和参事官は「十分な安全が保てないと言うことであれば、それはやっぱりやるべきではないと思います。そこは校長先生を中心に、指導の計画をきちんと作っていただいて、運動会に臨んでいただくことが大事だと思います。組み体操も含め、学校での事故防止について、しっかりと取り組んでいきたい」と話しています。
何たる無責任。校長に丸投げして、文科省自身では何の指導もしない。死者も結構出ているんだが。
→ 被害の一覧
政府は security に対してあまりにも鈍感すぎる。こういう場合には、その組織の権限を奪って、security を専門に扱う部門を設立するべきなのだ。
学校教育でも同様。security に関する限り、文科省はその権限を譲渡し、安全省(仮称)の管轄下に入って、従属するべきだ。これからは安全省の指導と命令を受けて、カリキュラムを設定するようにするべきだ。
( ※ なぜ文科省の内部に安全局を作るのでは駄目かというと、それでは安全局が文科省に従属するので、安全策が受け入れられず、危険なままとなるからだ。現状がそういう感じだ。)
( ※ なぜ安全が通常業務に優先するかと言えば、人間の生命は政府の仕事よりも大切だからだ。人命を危険にさらしてまでやるべき通常業務などはない。例。組み体操。……なのに、それがわからないのが、文科省だ。)
なお、安全省の設置については、前に論じたことがある。下記項目の後半に書いてある。
→ 防災庁を設置せよ
組み体操と安全確保の話題。
タイムスタンプは 下記 ↓