［プチ昔の事例］ 2015年5月8日 日本年金機構に標的型メールが送信され職員がクリックして情報が大量流出、危機意識が欠如し人的体制・技術的対応も不十分だった （第２報；修正１）

2015年6月9日に掲載した元記事がプロバイダーの字数制限オーバーとなりましたので、ここに新情報を第２報修正１として掲載します。

第１報は下記参照。（新情報に基づきタイトルも修正しました）

http://anzendaiichi.blog.shinobi.jp/Entry/4940/

 

 

（２０１５年８月２８日　修正１　；追記）

 

2015年8月22日0時1分に毎日新聞から、調査報告書が公表されたという、下記趣旨の記事がネット配信されていた。

8月21日付で東京新聞からも、同趣旨の記事がネット配信されていた。

 

日本年金機構の情報流出問題で、厚労省の外部検証委員会は２１日、「機構、厚労省ともに標的型メール攻撃の危険性に対する意識が不足し、人的体制と技術的対応が不十分だった」とする調査報告書を公表した。

 

情報や危機感の共有がなく、担当者が幹部の明確な指揮を受けることなく「場当たり的な対応に終始した」と指摘。

機構へのサイバー攻撃が始まる前の４月２２日、厚労省年金局に標的型メールが送られていながら、機構に連絡していなかったことを明らかにした。

委員長を務めた甲斐中・元最高裁判事は、塩崎厚労相に報告書を提出した後の記者会見で、「厚労省と機構ともに、危機意識の欠如、組織の一体性の欠如の二つが根本にある」と述べた。

報告書などによると、４月２２日の標的型メールで、厚労省は内閣サイバーセキュリティセンター（ＮＩＳＣ）から、「ウイルス感染した場合には、被害が大きくなる可能性がある」との情報も得ていた。

 

しかし、５月８日に最初の標的型メールで機構のパソコンがウイルス感染した際、厚労省は機構にこうした事実を全く伝えなかった。

報告書は、この一連の経緯を、「厚労省から続く一連の標的型メール攻撃という認識を、機構も持てなかった」とした。

また、機構を監督する厚労省が約３万人の職員を擁する巨大組織であるにもかかわらず、厚労省でサイバーセキュリティーを担当していたのはマイナンバー制度担当も兼務する情報政策担当参事官室（情参室）の担当係長１人だけだった点を、「到底十分な体制とは言い難い」と批判した。

感染拡大の経路になった機構のＬＡＮ（構内情報通信網）について報告書は、厚労省のどの部署に監督権限があるかが不明で、機構を所管する年金局、情報セキュリティーを担当する情参室の責任の所在が不明確だったために、積極的な指導監督ができなかったとした。

検証委は、調査に対し、機構の一部職員が重要な資料を出し渋ったり、書類の一部を黒塗りで提出したりしたことも明らかにした。

報告書は、「国民に多大な心配をかけながら、そういった態度は論外だ。徹底的な意識改革が必要」と機構を批判した。

 

また、厚労省の官僚と地元採用者との間に意思疎通がなく、責任の所在もあいまいな旧社会保険庁時代の体質がいまだに続く「構造的な問題」があるとした。

塩崎厚労相は、「機構と厚労省に厳しい指摘をいただいた」と述べた。

機構の水島理事長は、「報告書を踏まえ、ゼロベースから機構の改革を図りたい」と話した。

 

機構は今後、情報セキュリティー対策の責任部署を設け、個人情報をネットから切り離すシステムも構築。再生本部を新設する。

検証委は、厚労省が６月８日に設置。

委員ら約２０人の態勢で、厚労省や機構などの延べ７８人から聞き取りをしていた。

当初、中間報告としてまとめる予定だったが、調査が進み、最終報告となった。

標的型メール攻撃に詳しい情報セキュリティー会社・ラック（東京都）の西本・専務執行役員の話

『サイバー攻撃を受けている兆候がありながら、厚生労働省も年金機構もトップに情報が上がらず、現場レベルで判断を重ね情報漏えいを許した。

兆候段階の情報を組織の最高幹部が速やかに把握し、組織全体で危機感を共有できる体制を構築すべきだ。

情報セキュリティーに総じて甘い日本の縮図のような事件なので、厚労省のサイトで公表される報告書には貴重な教訓が含まれている。他の団体・企業は他山の石とすべきだ。』

 

情報セキュリティー会社・トレンドマイクロ（東京都）の鰆目・シニアスペシャリストの話

『年金機構の個人情報が狙われたが、同様の手口で民間企業の個人情報を狙ったサイバー攻撃も起きている。

現状でウイルス感染を完全に防ぐのは難しいが、感染後の端末のおかしな動作を把握し早期に気づくことで、被害を最小限に抑えるシステムなども開発されている。

個人情報をパソコンで扱う場合は必ず対策を取るべきだ。』

検証報告書の骨子は下記。

・年金機構、厚生労働省ともに標的型攻撃の危険性に対する意識がたりず、人的体制、技術的対応が不十分だった

・現場と幹部間、年金機構と厚労省の組織間で情報の共有がなく、専門知識を持つ職員の動員もないまま、場当たり的対応に終始した

・年金機構は、内部の専門家がいたのに活用せず、外部の専門家にアドバイスを求める体制もなかった

・厚労省は職員数３万人を超える大組織だが、事実上、職員１人が全省のサイバーセキュリティー対策を担うなど、サイバー攻撃の脅威への意識が低かった

 

出典ＵＲＬ

http://mainichi.jp/select/news/20150822k0000m040144000c.html

http://www.tokyo-np.co.jp/article/national/news/CK2015082102000130.html

 

 

8月22日付で毎日新聞東京版からは、「年金情報流出：検証委報告書　要旨」というタイトルの記事がネット配信されている。

http://mainichi.jp/shimen/news/20150822ddm012040098000c.html

 

 

 

2015/08/28 (Fri) 【情報管理不備】　ﾊﾟｿｺﾝ・ﾒｰﾙ等 Comment(0)