2015年06月05日

◆ ウイルス感染は組織の問題

 年金機構のウイルス感染の問題は、組織的な問題があるとわかる。 ──

 新たに二つの報道が出た。順に示そう。

 (1) 電子メールの使用禁止

 年金機構が「電子メールの使用禁止」という方針を打ち出した。冗談みたいだが、本当。
 125万人の年金個人情報が流出した問題で、日本年金機構は6月5日、職員が外部向けに電子メールを使用するのを禁止したことを明らかにした。期間は「当面の間」。「万一の流出を避けるため」という。
 流出を受け、6日と7日は「休日年金相談」を全国の年金事務所で行う。
( → ITmedia ニュース

 「あつものに懲りてなますを吹く」みたいだが、もっとひどい。これでは全然、対処になっていない。たとえば、電子メールをやめて FAX を使っても、感染は止まらない。こんな感じ。
 「 FAX で URL を記しますから、その URLにアクセスして、ファイルをダウンロードしてください」
 「わかりました」
 これでダウンロードすれば、また感染が起こる。そのあとで、不思議がる。
 「電子メールを禁止したし、添付ファイルも使わないのに、なぜだ!」

 あまりにも馬鹿馬鹿しくて、お笑いにしかならない。問題の根源がどこにあるかわかっていないからだ。
 これはもう、組織そのものが狂っている(というか愚劣というか)。どうしようもないね。


 (2) ウイルス感染後の対応

 ウイルス感染後の対応に問題があったことがわかった。
 厚生労働省は最初の不正アクセスがあった5月8日から17日間、担当係長までで対応していたことがわかった。
 機構九州ブロック本部の職員のパソコンがウイルス感染し、不正アクセスがあった5月8日には、厚労省年金局の担当係長が異常を検知した「内閣サイバーセキュリティセンター」(NISC)から連絡を受けた。係長は機構側に感染したパソコンと個人情報が入った「情報系システム」を結ぶLANケーブルを抜くことなどを指示。ただ、上司には報告しなかった。
 その後もサイバー攻撃は続き、機構は19日になって警視庁に相談して捜査を依頼。この情報も係長に伝えられたが、上司には話さなかった。担当課長や樽見審議官に問題発生の報告が伝わったのは25日だった。
( → 朝日新聞 2015-06-05

 ここでは二つの問題がわかる。
  ・ 係長が情報を報告しなかったこと。
  ・ 内閣サイバーセキュリティセンターが放置したこと

 この二つは、いずれも組織の問題だ。
 (i) 係長が重要情報として報告する体制ができていなかった。特に、報告先が上司だけであって、「省内のセキュリティ部門に報告する」という体制がなかった。
 (ii) 内閣サイバーセキュリティセンターは、年金機構に情報を提供するだけで、対処を丸投げした。つまり、内閣サイバーセキュリティセンターが報告するべきセキュリティ機構が存在しなかった。

 ──

 さて。以上の (1)(2) の報道を受けて、考えてみよう。問題はどこにあるか? それは、こうだ。
 「情報のセキュリティについての担当組織が存在しない」


 ただし注意。セキュリティについて研究する組織がないわけではない。産総研では高木浩光氏が研究している。また、IPA もセキュリティについての情報を提供している。
  → IPA 独立行政法人 情報処理推進機構

 しかしながら、これらの部門には、大切なものが欠けている。それは、「権限」だ。つまり、各省庁の情報部門を(セキュリティについて)指揮するだけの権限だ。

 では、そのような権限を、IPA に与えればいいか? いや、それだけでは無理だろう。「口うるさく指導する」というだけの体制では、肝心の担当部局から疎んじられるだけだ。なぜなら、馬鹿には利口が邪魔に見えるだけだからだ。「うるせえ。ほっといてくれ。口うるさくするなら、出て行ってくれ」となるに決まっている。

 そこで、私の提案は、こうだ。
  ・ IT省を設置する。
  ・ その地位は、他の省庁と同程度とする。
  ・ その仕事の内容は、企業の情報システム担当者と同様。
   つまり、組織全体の情報システムの全権限を担う。


 現状では、行政組織が上で、情報システム管理は「発注した業者任せに命令して委ねる」という形だ。業者はあくまで、お客様である行政組織のいうことを聞くだけだ。

 私の提案では、情報システムに関する限り、IT省が上位に立つ。政府の行政組織は、IT省の指示のもとで、パソコンを使わせてもらえるだけだ。指示に反するような使い方をしたら、「使い方ミス」を指摘される。その後、行政組織のトップから処分が下される。(省内規則違反による行政ミスとして、停職1週間、みたいな処分だ。)
 
 ──

 これを今回の例に当てはめよう。
 まず、内閣サイバーセキュリティセンターが検知した時点で、情報はIT省に行く。IT省の「年金機構の担当者」から、年金機構のミスを検出する。すると、どこが悪かったかという原因が判明し、このあとどうするべきかという対処も出される。……ここでは、年金機構の係長の出る幕はない。あくまでITの専門家がすべてを処理する。
 そのあと、改めて、正しい使い方を講習する。この講習は、年金機構だけでなく、政府の全組織が対象だ。また、講習内容は、本サイトの下記項目と同様でいいだろう。
  → 添付ファイルへの対策
  → ウイルスメール対策 2
  → ウイルスメール対策 3
  → ウイルスメール対策 4

 以上は、職員向けの対策だ。
 それとは別に、システム全体も変更する。重要情報が外部に漏れないように、情報を遮断させる。(物理的に経路を作らない。USB などで流出させる輩が出るとしたら、そうしないように講習する。)
 また、何らかの形で外部に出たら、それをチェックする。たとえば、今回の例で言えば、外部サーバーに一時的に情報が漏れたようだが、こういうことがあればただちに検出するように、外部サーバーを常時チェックする体制を構築する。

 ともあれ、このような形で、情報のセキュリティについてはIT省が全責任と全権限を持つようにするべきだ。つまり、専門家が責任と権限をもつようにするべきだ。
 現状は? 素人が牛耳っている。だから、冒頭の「電子メール禁止」なんていう冗談みたいな方針に走る。素人が権限を握ると、こういうとんでもない事態が起こる。
 ゆえに、素人ではなく専門家が、責任と権限をもつようにするべきだ。そして、そのために、専門の省庁が必要なのである。

 これは本質的には、組織設計の問題だ。
 


 【 関連項目 】

 この件は、前にもちょっと論じたことがある。
 「内閣官房情報セキュリティセンター(NISC)」というものがあるが、権限がなくて、ほとんど無視されている……というような話。
  → Google and Me ブログ: ウイルスで情報漏れ
 


 [ 余談 ]
 全然関係のなさそうな話だが、次の報道もある。
  → 組み体操の事故多発で安全対策は
 
 組み体操で大事故が多発しており、専門家は「中止を」と呼びかけている。(安全性 secutiry の観点から。)
 しかるに文科省は責任を取らず、ただの談話しか出さない。
 文部科学省スポーツ・青少年局の日向信和参事官は「十分な安全が保てないと言うことであれば、それはやっぱりやるべきではないと思います。そこは校長先生を中心に、指導の計画をきちんと作っていただいて、運動会に臨んでいただくことが大事だと思います。組み体操も含め、学校での事故防止について、しっかりと取り組んでいきたい」と話しています。

 何たる無責任。校長に丸投げして、文科省自身では何の指導もしない。死者も結構出ているんだが。
  → 被害の一覧

 政府は security に対してあまりにも鈍感すぎる。こういう場合には、その組織の権限を奪って、security を専門に扱う部門を設立するべきなのだ。
 学校教育でも同様。security に関する限り、文科省はその権限を譲渡し、安全省(仮称)の管轄下に入って、従属するべきだ。これからは安全省の指導と命令を受けて、カリキュラムを設定するようにするべきだ。
( ※ なぜ文科省の内部に安全局を作るのでは駄目かというと、それでは安全局が文科省に従属するので、安全策が受け入れられず、危険なままとなるからだ。現状がそういう感じだ。)
( ※ なぜ安全が通常業務に優先するかと言えば、人間の生命は政府の仕事よりも大切だからだ。人命を危険にさらしてまでやるべき通常業務などはない。例。組み体操。……なのに、それがわからないのが、文科省だ。)

 なお、安全省の設置については、前に論じたことがある。下記項目の後半に書いてある。
  → 防災庁を設置せよ
posted by 管理人 at 22:13| Comment(1) | コンピュータ_04 | 更新情報をチェックする
この記事へのコメント
最後に [ 余談 ] を加筆しました。
 組み体操と安全確保の話題。
 タイムスタンプは 下記 ↓
Posted by 管理人 at 2015年06月06日 00:34
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

過去ログ