エンタープライズ0.2 - 進化を邪魔する社長たち - (320) セキュリティ対策の限界を露呈した日本年金機構のセキュリティ0.2

万が一の情報流出時に、被害を最小限に食い止めるためのルールで、情報管理からみて妥当な対策です。

ところが、流出した個人情報の44%にあたる、55万件が未設定でした。鍵をかけていない金庫は、かさばる戸棚に過ぎません。

被害を決定づけたのは、従来は堅牢な基幹システム内にあった個人情報を「ファイル共有サーバ」に移したことです。朝日新聞が「パソコン」と表現していることから、パソコンの「ファイル共有機能」かも知れませんが果たす役割は同じです。

感染したパソコンは、ここにあった情報を見つけ、外部に送信していたのです。つまり、ここに情報を置いておかなければ、そもそも論として流出する情報はなかったのです。二重三重の人間によるミスと、管理の不徹底という「ヒューマンエラー」の前には、どんな堅牢なセキュリティ対策も「0.2」に成り下がります。

○習っていないから知らない

また、発表前に「2ちゃんねる」では内部情報と見られる書き込みが見つかっています。旧社保庁の事件からも、日本年金機構という組織に根ざす、情報を取り扱う事業者としての危機意識の欠如は論外のレベルですが、大なり小なり、どの企業も内包する現代的な課題です。