年金機構の情報流出とファイル管理の話

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

年金機構の情報流出に関しては、高度標的型攻撃から個人情報の管理の問題に移っているようですね。個人情報を誰でも扱える共有ファイルサーバに置いていたというのはさすがに問題といえるでしょうし、担当者もある程度は責められるでしょうが、責めるのはそこそこにして次に進まないといけません。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

重要なのは、個人情報のずさんな管理そのものよりも「なぜそのような管理が必要だったか？」です。需要の無いところに供給がある訳無いので、必要に迫られてそのような運用になってしまったと思われます。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

正当な運用方法はもちろん決まっていたでしょう。しかし、それが無視されたということは実務に耐えられる仕様ではなかったということです。この辺の業務分析も絶対に必要です。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

再発防止というのは、担当者のミスを責めるだけではなく、ミスを起こした原因を対処することで同じ失敗を起こさせない事も大事です。ここで行うべきは、安全かつローカルファイル化より少し手順が多い程度で済む使いやすいデータアクセス手段の提供と考えます。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

この辺は、IT企業が色々アイディアを持っているし、大型契約を得る大チャンスなので今頃プレゼンテーション資料を大量に作ってスタンバっているでしょう。でも、やるなら現場の担当者と綿密かつ丁寧に話をして実情に即したシステム構築をお願いしたい。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

ちゃんと現場を見ないで、新技術だから…トレンドだからという理由だけで上層部を押し切って入れたような新システムだと、実情に合わなくて、また同じようなことの繰り返しになるでしょうね。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

とにかく、個人情報の管理問題についてはそれを起こすだけの理由があります。それをしっかり潰していくことも今後に繋がるはずです。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

さて、今後の標的型攻撃の再発防止策ですが、ある程度は改善できたとしても完全になくすことは不可能です。侵入者も歴戦のプロですからね…ただ、侵入されたことを検知する方も進化しているので、とにかくすぐに検知して潰す事です。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

あと、侵入を許してしまった社員を責めない事を徹底することが大事です。何かあったらすぐに報告させて、決められた危機管理マニュアルに従って対処する。報告書の山はあるかもしれませんが、懲罰はするべきでないというのが最近のトレンドですね。

ざ＿な＿く＆８９０P@eR @z_n_c_890_P

サイバー攻撃との戦いはこれからもずっと続きます…その戦いを続けるためにはどうしたらいいのか…その答えも探し続けなければいけません…