日本年金機構からの事故調査報告書発表に思うこと

標的型攻撃の被害組織自らが体験したことを赤裸々に書いた報告書は徹底的に活用したい。

本日、日本年金機構より「不正アクセスによる情報流出事案に関する調査結果報告について」が発表されました。標的型攻撃において、被害を受けた組織が調査して公開した「初めての具体的な報告書」だと認識しています。そのため、あらゆる組織において対策に有益で貴重な情報だと思います。

まずこの種の報告は、一般的に原因分析や再発防止策などに関し、全てを公開できないことを理解しなければなりません。内部向けの資料は、さらに詳細なものが作成されているものと推測します。つまり、記載されていることが全てであるような判断は禁物です。公開された情報からできるだけ本質をつかみ、自分たちの対策に生かしていくようにしたいものです。

総括としては、報告書からは、しっかりとした対策や対応と反省点がしっかり読み取れます。正直、ここまでの対策ができている組織もそんなに多くはないでしょう。さすがというか、当たり前というか、年金情報を取り扱う組織だと感じる面は多々あります。しかし、我々日本人には、標的型攻撃は「戦争」なんだという意識が欠如していることを痛切に感じてしまいます。日本年金機構においても、日本人としての標準的な危機意識でサイバー攻撃に対応していたのだということを改めて認識しました。

報告書を熟読したわけではないですが、本日時点での感想を備忘録として書き留めておきます。皆様方の参考になれば幸いです。

１．意識面

1. 標的型攻撃メール対応慣れ

標的型攻撃はAPTとも呼ばれ、執拗で継続して行われる高度な攻撃であることを認識しなければならない。報告書からは、標的型攻撃メールが来る度に、対応そのものがマニュアル的になり、言い換えれば危機意識が薄れ、慣れてしまっているように見える。ある面、攻撃者の術中にはまっているとも考えられる。相手は費用対効果で対象者を変えるような金銭目当ての輩ではなく、「任務・業務」で攻撃を計画的に行い続ける組織であるとの認識が重要である。

2. 攻撃に終わりはない

「○○で××をやっておけば被害を防ぐことができた可能性がある」と各所で述べられているが、一時的には防ぐことができても、継続して執拗に狙われ続けることを認識しなければならない。ましてや、今回の報告書で戦いは完了ではない。日本のあらゆる組織において、戦いはこれからが本番であり、今後も継続し続けるという認識を持つことが重要である。有史以来人間はそういう戦いの中で生きてきた現実に、向き合わなければならない。

3. 横割り組織の弊害。役職者層と現場の分離

厚労省や日本年金機構の現場間では情報や危機感の共有が行われていたようであるが、両者とも経営の問題としてとらえられていなかった背景には、よく言われている「縦割り」だけではなく、関係組織それぞれの、役職者層と現場の間で「横割り」が存在し、その弊害もあったのではないかと推測する。良くも悪くも「戦国の世」ではなく「天下泰平」での処世術である。私自身、改めて現場の頑張りだけでは生き残ることができない時代であることを認識した。

２．制度面

1. ルール違反の発覚

事件が起きてルール違反が発覚したのが、今回の事件で最悪のことだったと考えている。となると、事件発生によってルール違反が発覚するのは避けたいところである。そこで処罰を考えても遅すぎる。ルール違反を継続的に監視して処罰、ルール改定やシステム化を行う仕組みの構築と維持が重要である。

2. 経営者の責任

そのために、役職者は重要な任務に就いてもらう人に、「責任感・使命感を向上させ維持させつつ」、「守らせるルールを定めルール違反を見つけ処罰し」、「緊張感を維持させ、運用できないルールは改定する」などの手を打ち、組織を持続させていく責任がある。そして、それが運用できていない場合は、自分自身の責任を厳しく問われるという緊張感を持ち続けなければならないことが改めて浮き彫りとなった。CIOやCISOも例外ではない時代である。

3. CIOやCISOは本気の取り組みが必要

「緊張感・責任感・使命感が役職者全員に欠けていた」との記載がある。例えば、「日本年金機構の中期計画等において当機構の事業運営における最重要課題の一つとして位置付けた国民年金の収納対策関連業務」のために個人情報を基幹システムから抽出し各拠点にて使用していたとあるが、CIOとして「国民年金の収納対策」を支えるITシステムはどのようにすべきなのかを考慮できていたのか、CISOとして個人情報を各拠点のネットワークに持ち込んで業務を行うリスクに関して考慮できていたのかが問われても不思議ではない。これまでは名ばかりCIOやCISOでも通用できたかもしれないが、「戦争」状態である現在では経営責任を問われることを覚悟してことに当たらなければならない。同時に最新の技術動向やリスクに関しての情報収集も怠れない。一般の会社であれば取締役の善管注意義務違反とみなされることもあり得る話である。知らなかったでは済まない世の中になったことを再認識すべきである。

３．技術面

1. ウイルス対策の新常識

標的型攻撃では、基本的にまずは「捨てウイルス」に感染させ、その後、遠隔操作を行うなどの「様々なウイルス群」に感染させられる。そのため、感染したウイルスを基本的には全て見つけ出しウイルス対策会社に送付しなければならない。つまり、全てのウイルスを見つけ出す「フォレンジック」と言われる調査が欠かせない。なぜならば、復旧のためには送り込まれた全てのウイルスを駆除しなければならないし、他に潜んでいるウイルスを見つけるためにも全てのウイルスの仕組みを知る必要があるからである。もし、フォレンジックを行わないのであれば、感染させられた多くのウイルスを駆除できるかどうかわからないため、影響の可能性のあるパソコン全てを「クリーンインストール」を行い復旧すべきである。ただし、フォレンジックを行ったからといっても全てのウイルスを見つけ出せるとは限らないため、基本的にはクリーンインストールを奨励するが、費用や事業継続の問題で、駆除＋監視強化で乗り切る例は多い。それにしても「捨てウイルス」だけを駆除して完了にするのは危険すぎる。

2. 業務上の特権が与えられる人への技術教育

業務上の理由でWeb閲覧規制が解除されるなどサイバー攻撃の危険に晒される業務に従事する職員には、安全にWebサイトを閲覧したり、不審なメールを見破ることができたりするなどの、ITやセキュリティに関する基礎知識は必須である。他の職員とは別に特別な訓練を受けるか、その手の教育を受けていなければならない。鉄道や地下鉄などで移動して業務を行う従業員と社用車を自ら運転して業務を行う従業員の違いのようなものである。

最後に、取り急ぎ、気になる点を列挙しましたが、当社で先日公開した「標的型攻撃 対策指南書」も併せて参考にしていただけますと幸いです。