サイバー防衛 | 随筆のページへ トップページへ File No.150701 |
政府は5月末決定した新たな「サイバーセキュリティ戦略案」を、6月には閣議決定の予定だった。ところが日本年金機構の125万件の情報流出という事件が発生したため、戦略案の見直しを余儀なくされた。それは戦略案が現実の危機管理に即していなかったということでもある。サイバー攻撃の監視や対処能力の強化などが盛り込まれていたはずだが、今回の事件があまりにもずさんであったことから見直しもやもう得ない。システムや運用規定がどれだけしっかりしていても、結局、それを運用する人の能力が問題である。人間は必ず間違いを犯す。同時に、サイバー攻撃も、非常に巧妙化してきている。ヒューマンエラーを前提とした戦略が必要である。逆に、閣議決定前に事件が発生し、戦略案が不十分であることが分かったことは、前向きにとらえたい。日本の実体に即した「サイバーセキュリティ戦略」で、サイバー攻撃の脅威から、国家、国民を守らなければならない。 |
それにしても日本年金機構の杜撰(ずさん)さはひどい。そもそも日本年金機構は、旧社会保険庁の「消えた年金問題」などの不祥事から、新しく発足した組織である。はっきり言って、体質は全く変わっていない。年金機構の基幹系システムは、ネットから遮断され情報は守られていた。ところが職員が実際の作業をするために、基幹系からコピーしたデータを情報系システムに移して作業をしていた。ここで内部規定としては、そのデータファイルにパスワードを設定することになっていた。さらに使用後すぐにそのデータは削除する規定だった。ところが、削除もしていなければ、55万件にはパスワードも設定されていなかった。しかもデータ流出が発覚し、年金機構がすべてをネットから遮断したのは、内閣サイバーセキュリティセンター(NISC=ニスク)が不審な動きを察知し通報してから3週間後だった。 同庁が担う業務への責任感、使命感の欠如、あるいはサイバー攻撃に対する危機認識の甘さは、非難されても仕方あるまい。 |
数年前、三菱重工業が、今回と同じような「標的型メール」によるサイバー攻撃をうけた。このときは、防衛省からの装備品の受注データ、空対艦誘導弾等の性能データ、戦闘機、ヘリコプターに関する資料など防衛関係の情報が盗まれている。時を同じくして川崎重工業、IHIなどの防衛産業も「標的型」で攻撃を受けている。こういった防衛産業や宇宙航空産業に対するサイバー攻撃は、日本だけではなく、アメリカやヨーロッパでも数多く発生している。そんな状況の中、防衛省は去年、防衛省や自衛隊へのサイバー攻撃に対する対処能力の強化を目的として、「サイバー防衛隊」を編成した。24時間体制で対処し、情報の収集、分析、調査等を一元的に行うという。しかし、人員が90人ほどで、重要インフラの対処を担うNISCと合わせても、200人足らずである。増え続けるサイバー攻撃には、いかにも心ものない状況である。規模が違うとはいえアメリカなどは、6000人以上の専門家を確保する予定だという。 |
年金機構を攻撃したメールの中の文字に、中国語のフォントがあった。三菱重工業のサイバー攻撃でも、関係するサーバーが中国在住の女性名義だった。山崎文明氏は「情報立国・日本の戦争」(角川新書)の中で「情報安保という概念をもて」と警告する。中国で製造された軍事用の部品に込められた脅威なども書かれている。表面的には分からないものの、性能が著しく劣る粗悪品で、アメリカの兵器システムの信頼を揺るがしているという。たとえばミサイルの熱感知追尾システムや、戦闘機のディスプレイなどに使われ、戦闘能力を低下させている。中国の通信機器大手は、中国人民解放軍と一体だという。中国製パソコンには、最初から「バックドア」機能がICチップに仕込まれているものがある。あるいは一瞬してシステムをダウンさせるルーターを敵対国に送り込めば、一気に敵国のネットをダウンさせることも可能となる。中国人民解放軍の課題は「攻撃の自動化」だという。陸・海・空・宇宙に次ぐ第5の戦場「サイバー空間」。「ダイハード4.0」のファイアセールが現実のものとなってきた。 |
随筆のページへ | トップページへ |
2015/07/24 年金機構・虚偽報告 |
日本年金機構のむちゃくちゃな仕事ぶりは底なしである。これではどんなにいいシステムを作っても無駄だ。動かしている人間が、常識では考えられない杜撰(ずさん)な体質である。 2013年に全国の年金事務所に、パスワード設定を指示した。これに対し全部署が4回にわたって「完了」と報告していた。ところがファイルの99%にパスワードが付いていなかった。つまり、ウソの報告をしていたのである。 さらに、パスワード設定を徹底するため「情報セキュリティ責任者」が、実施状況を報告するようにした。ところが、この情報セキュリティ責任者もまた、年2回の実施報告では「対策完了」と報告していた。 つまり、何の対策もされないまま、報告はすべて実施完了と報告していたのである。 このバカ者どもを、どうしてくれようか!!!!! 今回の情報流出で、この対応に8億円の費用がかかるという。新たな年金手帳、おわび状、問い合わせ対応の費用、管理スシテムの改修費用などである。この費用は杜撰な従業員の給料から差し引いたら少しは身にしみるのではないか。それくらいやらないとこのだらしない体質は治っていかない。そもそもこういう体質は、組織のトップのぬるさに起因している。いい加減にせえよ!! |