年金機構の個人情報は流出して当然だった

125万件もの個人情報を流出させてしまった日本年金機構への批判が高まっています。

担当者がメールに添付されたファイルを開いたことによってウィルスに感染、それとは別に乗っ取られていた全く関係無い海運会社のサーバーを経由し、個人情報を盗まれた、というものです。

まず、誰もが思うであろう「ウィルス対策は万全だったのか？」という疑問が浮かびます。

もちろんパソコン上にウィルス対策ソフトは設定されていました。

おそらく、メールを経由するサーバー上でもウィルス対策を行っているはずです。

というか、最低限、それぐらいの対策はやってもらわないといけないのですが、今回の場合、サーバーやパソコンで対策をしていても、ウィルスを検出、駆除することはできませんでした。

通常のウィルスと違い「標的型攻撃メール」のため、駆除ソフトはウィルスと認識しにくい種類のものでした。

2011年に三菱重工やIHI、川崎重工、三菱電機、NECなど防衛産業が一斉に情報流出した事件も、この「標的型攻撃メール」によるものだったのです。

あれから4年経過しても、その時点で最新となる「標的型攻撃メール」を見分けて駆除するような技術は現在でも存在していません。

「標的型攻撃メール」から情報を保護するにはどうしたらよいのでしょうか。

今回のケースで考えてみましょう。

おそらく多くの会社で「不審なメールを開かない」「添付ファイルを開けない」といった当たり前のことは叫ばれていると思います。

今回の場合も、もちろん担当者はそのような指示を受けていたはずですが、それでも添付ファイルを実行してしまった。

所詮、人間のやることなので、どれだけ徹底しても危険をゼロにすることは不可能となります。

会社のパソコンではメールの扱いを万全にしても、仮にUSBメモリなどで情報を取り出せたら、紛失、自宅PCから流出などいくらでもヒューマンエラーは起きてしまいます。

そのため、システム設計上は「ヒューマンエラーは起きるもの」との前提が必要になります。

今回の場合、ネットに繋がる（メールができる）パソコンが、個人情報データにアクセスできるような設計になっていたことも事件化した原因です。

いわゆる、情報系（インターネット）と基幹系（個人データ満載）は、完全に切り離した設計にしなければいけません。

また、ＵＳＢメモリなどの外部メディアを使えない仕組みにすることも重要です。

インターネットに繋がっている時点で、どれだけ強固なセキュリティで防御しても、絶対に情報は漏洩します。

あるいは外部メモリに取り出せたら、どんな強固なセキュリティも意味を成しません。

僕は個人的に、今回の事故の責任は担当者より、現システムの設計や運用を考えた人たちの責任のほうがはるかに重大だと考えます。

そのくせ謝罪会見では、トップのエライ連中は「自分たちのせいじゃないよーん」みたいな他人事のように考えているサマが実に腹立たしい。

そんなわけで、来るべきマイナンバー制度（国民総背番号制）も、必ずや情報漏洩すること間違いない、と僕は思っています。

今回で情報を入手した連中や模倣犯などは、マイナンバー制度の施行を、手ぐすねひいてヨダレ垂らして待っていることでしょう。