ポイント3 日々の小さな事故対応を行うことで大きな事故に発展させないようにする 事故対応がすみやかにできるように手順を明確にしておく
とはいうものの、日々の事故対応を実施するのは手間がかかるのも事実です。ですから、対応に手間がかからないように手順を明確にするだけではなく、ある程度自動化しておく必要があります。
今回の日本年金機構の事故は、5月8日の時点で内閣官房情報セキュリティセンター(NISC)が運用する「政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)」が不審な通信を把握していたということですが、その情報を使った対応が適切にできていなかったのも残念です。
もしもあらかじめ対応手順が決まっていれば、事故は発生しなかった。もしくは最小限の被害で済んでいたかもしれないからです。
漏えいした基礎年金番号については再発行されることになっているようですが、年金の名寄せが難しかったことを考えると、再発行に伴う新たなトラブルを生みかねないと懸念されます。
これが被害のなかった他の番号にも影響を与えるかも知れないなど、被害の増大はまだまだ続くのかもしれません。そういう意味でも年金機構の対策は被害の極小化という視点からは失敗していると言えます。
人の負担が少ないセキュリティ環境を構築する
年金機構の情報漏えいについてはすでに多くの専門家の皆さんが提言を出していますので、自らの組織に合うものを選びながら対策を実施いただきたいと思います。
その中で重要なポイントは「事故が発生していることに早く気がつく」ことができること、「対策を実施していることを説明可能」なことです。また「人間の負担が少ないもの」を選択することです。もちろんビジネス上のさまざまな問題についても検討しなければいけません。
標的型メール攻撃について「不審なメールを開かない」という訓練を実施している企業や団体がありますが、これは気づきトレーニング(意識向上トレーニング)の一環としては良いでしょうが、情報セキュリティ対策としては未熟で費用対効果の低いものとなります。やらないよりはマシですが、大きな効果を見込むことはできません。
どうしてこのような勘違いが起きてしまうのか。その背景には、個人でのIT活用と、企業におけるIT活用時のセキュリティがごっちゃになっているとことがあります。