2015/06/03

日本年金機構の漏洩事件でもちきりな日

土曜日の「東京古道散歩」で配布する資料を作る。
なんとか明け方までに作り終えてメール。
今回は、洗足池から大井まで尾根道を。
この辺のルートは諸説あるんだけどな。


さてここ数日の話題はあれ。
日本年金機構の漏洩事件。

まとめ→日本年金機構の情報漏えいについてまとめてみた - piyolog


いろいろとツッコミドコロはあって

1)職員がメールに添付されてたファイルを開いてマルウェアに感染した(どうも、ファイルへのリンクをクリックしたらしい)

2)基幹システムにある年金情報の一部が、そのパソコンからアクセスできるファイル共有サーバーにコピーしてあった。

3)そのサーバーにあるファイルを持ってかれた

という話なんだけど、
1)も2)もどっちもダメすぎて。

1)不審なメールを不用意に信用しちゃいけない、ってのは昔から口をすっぱくするほどいわれてるのに
 ・つい開いちゃって←人として問題あり
 ・でも狙い撃ちで紛らわしいメールを大量に打たれたら、誰かがついあけてしまう可能性は否定できない
 →よって「不審なメールを開かないように」的通達では何もかい。
 →誰かがそういうことやらかしても、その次の段階で阻止できるシステムが必要

2)そう考えるとより大きな問題は2)にある。
 「インターネットにつながっててあやまってマルウエアに感染する可能性を否定できないパソコンが、重要な個人情報にアクセスできる状態にあってはいけない」
 という観点で考えれば、
 そういうことができないシステムになってなきゃいけない。
 問題はこっちでしょう。

 人はミスをおかすし油断する。
 それを踏まえた上でシステムを構築しなきゃいけないのに。
 内規がいくらあってもやらかす人はやらかすから。

このコラムに同感せざるを得ない現状が泣ける。
セキュリティ大国、日本 | 辺境社会研究室

サイバー攻撃がこわいね、という話、じゃなくて
それ以前の問題なんだよということが周知されなきゃいけないんけど
はたしてそうなってくれるか。


0 件のコメント: