編集部からのお知らせ
動画セミナー「Security Trend Winter」公開中!
最新記事まとめ「医療IT」

再発防止に向けた5つのポイント--日本年金機構の個人情報漏えい - (page 3)

河野省二(ディアイティ)

2015-06-06 07:00

ポイント3
日々の小さな事故対応を行うことで大きな事故に発展させないようにする
事故対応がすみやかにできるように手順を明確にしておく

 とはいうものの、日々の事故対応を実施するのは手間がかかるのも事実です。ですから、対応に手間がかからないように手順を明確にするだけではなく、ある程度自動化しておく必要があります。

 今回の日本年金機構の事故は、5月8日の時点で内閣官房情報セキュリティセンター(NISC)が運用する「政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)」が不審な通信を把握していたということですが、その情報を使った対応が適切にできていなかったのも残念です。

 もしもあらかじめ対応手順が決まっていれば、事故は発生しなかった。もしくは最小限の被害で済んでいたかもしれないからです。


 漏えいした基礎年金番号については再発行されることになっているようですが、年金の名寄せが難しかったことを考えると、再発行に伴う新たなトラブルを生みかねないと懸念されます。

 これが被害のなかった他の番号にも影響を与えるかも知れないなど、被害の増大はまだまだ続くのかもしれません。そういう意味でも年金機構の対策は被害の極小化という視点からは失敗していると言えます。

人の負担が少ないセキュリティ環境を構築する

 年金機構の情報漏えいについてはすでに多くの専門家の皆さんが提言を出していますので、自らの組織に合うものを選びながら対策を実施いただきたいと思います。

 その中で重要なポイントは「事故が発生していることに早く気がつく」ことができること、「対策を実施していることを説明可能」なことです。また「人間の負担が少ないもの」を選択することです。もちろんビジネス上のさまざまな問題についても検討しなければいけません。

 標的型メール攻撃について「不審なメールを開かない」という訓練を実施している企業や団体がありますが、これは気づきトレーニング(意識向上トレーニング)の一環としては良いでしょうが、情報セキュリティ対策としては未熟で費用対効果の低いものとなります。やらないよりはマシですが、大きな効果を見込むことはできません。

 どうしてこのような勘違いが起きてしまうのか。その背景には、個人でのIT活用と、企業におけるIT活用時のセキュリティがごっちゃになっているとことがあります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]