「安全性と利便性のバランスが重要」日本年金機構情報漏えい事件と自治体の情報セキュリティ
この記事の内容
マイナンバー制度が本格運用される目前に起きた、2015年の日本年金機構の情報漏えい事件。この事件を機に、総務省は自治体に対して情報セキュリティの強化を求めました。それを受けソリトンシステムズでは、400を超える自治体へセキュリティ対策ソリューションを提供しています。
今回はあらためて日本年金機構の情報漏えい事件がなぜ起きてしまったのか、また当時の自治体のセキュリティ対策状況を振り返りつつ、自治体のセキュリティ対策のポイントについて、ソリトンシステムズ ITセキュリティ事業部 パブリックビジネス部 部長の富本正幸に話を聞きました。
※多くの方に自治体のセキュリティについて知っていただきたいという思いから、社内メンバーによるインタビューを実施してお届けいたします
標的型攻撃メールとは?日本年金機構情報漏えい事件が起きた理由
―― あらためて、2015年に日本年金機構の情報漏えい事件はなぜ起きたのか、どういった事件だったのかを教えていただけますか?
まず事件そのものとしては、2015年6月に日本年金機構が管理していた125万件もの個人情報が漏洩してしまった事件です。職員が標的型攻撃メールを受け取り、添付ファイルまでも開いてしまったことが原因でした。結果的にマルウェアに感染してしまい、個人情報が外部に漏えいしてしまう結果となりました。
なぜ政府機関が、そうした単純なことでマルウェア感染してしまったのかと思われるかもしれませんが、理由の1つとしてアンチウィルスソフトが端末に入っていたものの、本事件のマルウェアを検出できなかったこと。そして当時はシステム的に対策を取るというよりも、各職員のリテラシーに依存してしまっていた、というのがもう1つの理由としてありました。
―― そもそも「標的型攻撃メール」とはどういったものなのでしょうか。
悪意を持って、何かしら情報を取ろうと意図的に組まれたマルウェア付きのメールです。特定の組織から重要な情報を盗むことなどを目的としているため、あたかも業務に関係あるようなメールに偽装して送信されます。
日本年金機構の事件では、「厚生年金基金制度の見直しについて(試案)に関する意見」といった、職員としては思わず開いてしまいかねない件名で送信されており、実際に開いてしまったわけです。
そして事件が発覚した当時は、ここまで被害が甚大なマルウェアの攻撃事例はありませんでした。政府機関のシステムは万全のセキュリティ対策がなされていると考えられていたのですが、それができていなかったことが露呈してしまう結果になったのです。
また当時はマイナンバー制度を施行する直前でもあり、より強固なセキュリティが求められる状況でした。そこでマイナンバー制度の施行前に各自治体の情報セキュリティを強化しようと、総務省からは情報セキュリティのガイドラインが発表され、全国的にセキュリティ対策が動き始めていきました。
「基幹系ネットワークに接続する端末でもメールが閲覧できた」当時の自治体のセキュリティ対策を振り返る
―― マイナンバー制度施行前の、自治体の情報セキュリティ対策はどういった状況だったのでしょうか。
当時の時代の流れとして「スマートにしていこう」という風潮で、どちらかと言うと一台の端末で色々なことができるようにしようといった傾向があり、利便性が重視されていました。
しかし日本年金機構の情報漏えい事件が起きて以降は状況が一変し、むしろ時代を逆戻りするような、物理的に分離させる対策をとるような動きへと変わっていきます。
というのも、一般的に自治体のネットワークは基幹系と情報系という2つに分かれていました。基幹系というのは、いわゆる市民の個人情報等を扱うもので、閉ざされたネットワーク環境で運用されるもの。情報系はインターネットと接続し、調べものやメール等での外部とやり取りをするためのネットワークです。
しかし実は当時、自治体によっては日常業務で必要なため、基幹系ネットワークに接続する端末でもメールが閲覧できる状況にあったんです。当然ながらセキュリティ対策としては良くない状況です。そこで総務省から発表された自治体情報セキュリティ対策の方針として、「三層分離」が提言されました。
「三層分離」とは自治体のネットワークを、基幹系と情報系という2つからさらに細分化させましょうということで、インターネット接続系ネットワーク、日々の業務を行うLGWAN接続系ネットワーク、そして住基ネットに接続し、個人情報等を扱うマイナンバー利用事務系ネットワークの3つに分けることです。
そういった自治体情報セキュリティ対策の指示が出されたのが2016年で、それに対して国の予算で補助金が各自治体へ支給され、翌年2017年には実現しないといけない、というタイトなスケジュールでの対策実行でした。
出典:総務省「新たな自治体情報セキュリティ対策に係る検討について」令和2年5月 (最終閲覧日:令和2年12月29日)
―― スマート化の流れから一点、物理分離をしていくことに対し、現場での混乱も大きかったのかと思われます。当時の状況としてはいかがでしたか?
おっしゃる通り、日本年金機構の情報漏えい事件以前は利便性を重視していたのに対し、真逆の対応を強いられたため、現場からは反発の声も上がってきました。
しかし、情報漏えいを防ぐというのが何よりも最優先。総務省から公表されたガイドラインには、様々な対処事項が書かれていましたが、各自治体によって職員数の規模も違えば、セキュリティに対する運用ポリシーも異なります。
そのため、「職員の端末台数が多くて予算内でカバーできない」「予算支給対象の内容と、自治体としてやりたいことが異なり、予算が使えない」など、各自治体で様々な制約がある中、いかにセキュリティ対策を行うかというのが課題でした。
そこで予算内で対処できない自治体は、独自のポリシーを定めてセキュリティ対策を進めたり、システム導入が厳しい場合は運用でカバーするといった方針をとるなど、何を優先し、どう実行するかは各自治体で判断し、進めていく状況でした。
セキュリティ対策と運用のバランスをいかにとるかが重要である
―― そうした状況をふまえ、あらためて自治体の情報セキュリティ対策におけるポイントはなんでしょうか?
予算内で対処できない部分は、やはり運用でカバーしようといった動きになります。また、セキュリティ対策のシステムを導入しようにも、これまでの運用方法と変わってくるため、新しい運用ルールを設けなくてはなりません。
セキュリティ対策を強化すると利便性が下がり、利便性を上げようとするとセキュリティが疎かになる―― このバランスをいかにとるかが自治体のセキュリティ対策のポイントです。
というのも、住民の個人情報を取り扱う職員の方が、全員セキュリティリテラシーが高いとは限りません。そのため、「この端末では、こういった方法で情報を入力してください」といった運用ルールを浸透させることが実は難しいことでもあります。
特に運用でカバーしようとする場合、現場がうまく回らず、担当者ベースでどう進めていいかわからないといった悩みが必ず出てきます。そうした細かい課題一つひとつを我々としては汲み取っていき、現場でどのように運用されるかを意識した、利便性とセキュリティ対策のバランスをとった製品をつくっていかないといけません。
自治体情報セキュリティの強化を機に、弊社では400を超える自治体に弊社製品を導入いただいておりますが、ある程度運用がまわってきた今、いくつか新しい課題も浮き彫りになってきました。
そうした課題に真摯に向き合い、PDCAを繰り返しながら、運用とセキュリティ対策のバランスのとれた製品をこれからもお客様へお届けしていきたいと考えております。
>> 後編へ続く <<