はじめ、このニュースを聞いたときに、
年金に関する情報は、インターネットに接続をしないクローズドシステムと言っていたはずなのに、なぜ?
という疑問がわきましたが、徐々にその詳細な内容が報道されていて、要するに、システムから直接ではなく、
システムからダウンロードしたファイルを、インターネットに接続されている職員のパソコン上に保存していて、
それが、流出したと。
なるほど、いかにも流出しそうな状態になっていたわけで、
これは、被害者でもあるけれど重大な過失があると攻撃されそうな状況ですね。
さて、この問題は、大きすぎるので、色々と波紋を呼びそうですが、同じような問題は一般企業でも起きそうな話です。
特に、CSVやエクセル形式でのデータ書出しは様々な理由から業務システムにはついていることが多いですし、
システムのバックアップファイルも、同様に、システムから分離され、ファイルとして扱われています。
企業における情報流出は、公共機関とちがって、存続そのものに影響を及ぼすような事態にもなりかねません。
かと言って、セキュリティを最高に高めるとなると、予算は青天井になってしまいます。
では、どのあたりで手をうつのかというと、
「御社もこの情報漏えい事件の被害者であると世間から思ってもらえるラインまでやりましょう」
つまり
「管理者として、常識で考えうる手段は講じており、重大な過失はない。と言ってもらえるかどうかが分かれ道です」
と、私は弊社のお客様にご提案しています。
もし、流出してしまった場合、本当の被害者はその流出した個人情報の対象者そのものであることは、もちろん、承知しておりますし、
決して軽んじているわけではないのです。
しかし、技術者からみて万全といえるレベルは、相当なコストがかかるのもまた事実なんです。
わかりやすいかどうかわかりませんが、話を住宅に置き換えてお話ししてみます。
たとえば、ごくごく中流の一般家庭において、
家のドアを開けっ放しにしていて泥棒に入られても、自業自得と言われます。
窓を開けっ放しにしていて泥棒に入られても、(以下省略)
鍵をかけないで外出して(以下省略)
鍵をかけたけど、玄関わきの植木鉢の下に鍵を置いていた。・・・さてこれはというと、厳しいようですが、やはり自業自得と言われるかもしれません。
鍵はかけてるし、隠してもいないけど、簡単に開けられるタイプで一つだけだった・・・被害者なんだろうけど、ちょっと防犯意識が低いよね。と思われますよね。
扉に二つの鍵を掛けており、一階は雨戸も閉めていたにも関わらず、・・・このあたりで、被害者だ。その泥棒はなんて悪い奴だ。と、風向きが変わります。
もちろん、警備会社や防犯カメラなどまでつけて初めて過失なしとというご意見もあるでしょう。
逆にシングルの鍵で十分だろうというご意見もあるでしょう。
そのくらいの価値観の違いというか揺れみたいなものはあって当然なのですが、
ここで言いたいことは、同じ「泥棒に入られた被害者」なのに、状況によっては責められることにあるラインがあるということです。
更に、個人住宅と企業、自分の資産だけなのか預かり物があるのかでも、そのラインは変わってくるでしょう。
今回の年金の件ですが、同じように例えて言うのなら、
厳重に警護された別棟の、これまた厳重な金庫に保管してあるはずの大事な預かりものを、
台所に無造作において、鍵のかかってない勝手口から侵入されて盗まれたようなものです。
ひょっとすると、調べが進んでそれを外に持ち出してたなんて話にもなるかもしれませんが、
いずれにしろ、アウトです。世間は被害者とは言ってくれないでしょう。
仕事をする以上、そして便利なシステムにする以上、セキュリティは低下していきます。
これは紛れもない事実です。
生産性と堅牢性はシーソーみたいなもので、何も考えずにどちらか一方を上げれば、もう一方が下がります。
堅牢性を極力下げずに生産性を向上させたり、逆に生産性を極力下げずに堅牢性を向上させるには、
予算と知恵と努力でシーソーを改良することが必要で、関係者が扱っている情報の重みと業務について深く理解しあっていることが重要です。
と、偉そうなことをだらだらと書き散らしましたが、様々な技術が進歩あるいは変革していく中で、
弊社も常に勉強中ですが、ここに書いたことを意識から外さないよう、お客さまのお手伝いをしております。
よろしければ御社のお手伝いもさせてください。
ラベル:セキュリティ
