結論から言えば、未だにこういった「平成前期のセキュリティ意識」が、日本の行政組織、企業組織のごく一般的な実態なのだ。
ICT(情報通信技術)は加速度的に進んでいると思われているが、それはあくまでも技術論としてそうなのであって、実際に現場で情報(や情報が記録された物)を取り扱う人間の方は、せいぜい製品の使い方やソフトウェアの操作手順を知っているだけであり、「セキュリティ意識」などと言うものは、ほぼ持ち合わせていないと考えた方が正確である。
技術論をいくら論じたところで、取り扱う人間が事の本質を理解していない限り、この種の事故は今後も起きるだろう。
INDEX
- 尼崎市民全員の個人情報を紛失
- USBメモリーとは
- 構造的な問題
- マイナンバーや年金情報は「芋づる」にならないか
尼崎市民全員の個人情報を紛失
筆者は13年間ほど企業情報セキュリティに携わってメシを食ってきた人間である。現在この種の仕事の割合は少なくなったものの、継続的に情報セキュリティに携わっている。
ちなみに筆者の投稿をよく読んでいただいている方は、「コイツはいろんな仕事をしているヤツだな」と思うはずである。事実筆者は、トラック運転手やICTコンサルタントなど、多種多様な仕事をしてきている人間である。
それはさておき、6月23日昼、尼崎市役所が全市民約46万人分の個人情報が入ったUSBメモリーを紛失したというニュースが流れてきた。
具体的には氏名、生年月日、住所など住民基本台帳に記載されている情報のほか、生活保護や児童手当を受けている世帯の口座情報などだという。
尼崎市が委託していた業者の「関係社員」が、これらのデータをUSBメモリーに保存して市役所(市政情報センター)から「①市の許可を得ることなく」持ち出し、データの移管作業を実施、その後「②飲食店に立ち寄って帰宅」したところ、USBメモリーを入れた鞄がなくなっていることに気づいたのだという(WebやTVのニュース情報による)。
今回の件は、単にUSBメモリーという情報保存媒体(製品)の「紛失」だと言い張る人もいる。しかし秘密情報が無許可で、特段の暗号化措置等もないまま管理領域外に出てしまったという意味で、すでに「流出」であるというのが、情報セキュリティに携わる者の正常な認識である。
そして、こういった出来事は報道されている以上に起きていると考えるのが自然であり、これが行政や民間企業も含めた日本社会の情報セキュリティ意識、レベルなのだという認識を、本稿ではあらためて確認しておきたい。
USBメモリーとは
今さらUSBメモリーについてパソコン辞典のような説明をする必要はないだろう。それよりも、今回の事案に即して、いったいUSBメモリーの何が問題なのかが説明されるべきだ(本来ならこういった事をマスメディアは解説すべきだと思うが)。
USBメモリー(本稿ではSDカード等も含めて考える)は、情報を記録して気軽に持ち運べる、手のひらどころか指先にものる小さな電子機器である。
データ形式(情報の持たせ方)や製品仕様にもよるが、粒ガムほどの小さな製品でも、上記のような大量の情報を短時間に記録(コピー)することができ、持ち出すことが可能だ。
セキュリティ技術を応用した製品も多くあるが、そのしくみを使うかどうかはひとえに使用する人間、あるいは組織の考え方ひとつである。またそのセキュリティ技術もピンからキリまであり、初歩的なパスワードロックは、技術に詳しい人物やその手の組織にかかれば、まったく無いも同然である。
USBメモリーの一番の問題は、「小さくて、かつ持ち出せる」という点にある。
もちろんそれこそが有益性でもあるのだけれど、こういった可搬型情報記録デバイスを(秘密情報を扱う)業務に使用するという考え方自体が危険思想と言わざるを得ない。いささかでも情報セキュリティに携わったことのある人物なら常識である。
本来であれば、可搬型情報記録媒体の使用は禁止されるべきである。
データの移動はセキュリティが確保された通信回線と、同じくセキュアな保存場所(サーバーコンピューター)で移動・管理されなければならない(履歴も残る)。誰もが手に取れる物体に入れ、ポケットや鞄の片隅に放り込んで、物理的に管理領域外に持ち出せるような方法を採用してはいけないのである。
筆者の感覚からすれば、許可なく情報が持ち出されたという時点で「情報漏洩」である。
つまり、USBメモリーを使用しているという時点でその組織は(情報セキュリティ的には)失格であり、勝手に使用する従業員を管理できないという運用面での問題も抱えていることになるのだ。
業務上どうしても必要な場合は、USBメモリーという物理媒体の管理を厳しくすると同時に、私物など勝手にUSBメモリーを所持・使用している場合には何らかの処分規定があってしかるべきである。
企業・組織は一つひとつのUSBメモリーを製造番号などで個体管理し、使用するたびに内部規定に沿って取り扱われなければならない。そのためには申請書を書き、上司の承認を得て(理想的にはすべて電子処理)、保管担当者が渡すというプロセスを作っておく必要がある(上司の承認は物品の貸出承認ではなく、情報の持ち歩き承認である)。そして決められた日時までに返却されることを確認する。
ここまでやっておくのが「平成後期」の当たり前なのである。もちろん既述のような「①許可を得ることなく」とか、「②立ち寄り」などは規則違反として扱われなければならない。
しかし実際のところ、これでは効率的とは言えないし管理コストもかさむ。
平成後期になると、オンラインで情報をやり取りすることが、安全かつ効率的で、コスト的にも安価に行えるようになってきた。
すでに「わかっている企業・団体」では、上手にこれを利用している。しかし残念ながら少なくない企業では、「秘密情報を外部に置くとか、ネット経由で見せてやるなんてとんでもない」という単純な無理解が(おもに管理職層や経営者層に)こびり付いており、まったくといっていいほど進んでいない。
新しい技術に関して安全性・危険性を判断するための知識や能力を持ち合わせていないためである。あるいは古来の致し方が一番良いのだという強い思い込み(本人は「確信」と理解している)から逃れられないでいるためである。
構造的な問題
今回の事案は本稿執筆時点で、市、委託業者、二次委託業者の関係や、紛失した人物の説明が聞こえてこないため断定はできないが、よくあるパターンは次の通りだ。
- 市は特定の業者と業務委託契約を締結している。そこには当然ながら守秘義務契約も盛り込まれており、担当者レベルで当該企業の情報セキュリティポリシー、関係する認証の確認、具体的な情報セキュリティ技術の確認が行われている
- 当該受託業者は、契約の範囲内で二次委託業者に業務を委託している
- 二次委託業者(あるいはそれ以降)で関わっている従業員が問題となる行為をやってしまう
じつはこの3段階すべてに問題がある。 そもそも発注者が業者に委託する際、発注者側に法律と技術に詳しい人材がいないことがめずらしくないということである。いきおい、大丈夫そうな業者さんだからということで、「あとよろしく」といった発注になってしまいがちなのである。
つぎに、こういった業務はしばしば2次、3次の業者へ回されがちである。なぜなら具体的な作業そのものは、(ICT業界における)単純労働である場合が多いからだ。
同時に発注者としては、直接契約を結ぶ相手に対して一定の信用度や知名度を求める。特に行政が民間に発注する場合はいろいろと規定があり、不思議な財団法人を間にカマしたりしなければならないこともある。
こういった事情で、行政としては「いざという時も説明がつく」ことを求めるし、受注側では利益優先で外注してしまう。そうしていつしか、(知識や技術はあったとしても)情報セキュリティ意識のかけらもない人物が、市民の個人情報を手にすることとなるのである。
マイナンバーや年金情報は「芋づる」にならないか
情報セキュリティはつまるところ、人間の意識の問題である。技術はあくまでも技術でしかなく、それを使うか使わないか、またどのように使うのかは人間に依存する。
情報セキュリティの世界では、技術の発展と、ソリューション(企業の抱える問題に対する解決策)販売ばかりに意識が注がれ、情報の取り扱い方に関する議論や啓蒙といったものはほとんど重要視されていない。
筆者は個人的に、国家レベルでの情報セキュリティ事故は、そう遠くない将来に起きるのではないか、あるいはすでに起きていて、あの事件のように巧妙に隠蔽されているのかもしれないという邪推すらしている。
営利企業であれば、情報セキュリティ事故・事件は事業継続に関わる問題にもつながるため、真っ先にその事実に関する情報を統制しようとする。
ところで昨今、暗号資産というものが話題になっている。そのベース技術となっているブロックチェーンというものは確かに「技術的、論理的には」とても素晴らしいものだ。しかしだからといって、これを応用したサービスで事故や事件が起きないかと言えばそれは別問題である。暗号資産を管理している企業が、その資産をそっくり盗まれてしまった事件はまだ記憶に新しい。
たとえばブロックチェーン技術という一面の真実だけを見て、それにまつわるあらゆる物事までも信用してしまうのは、日本人の悪いクセなのかもしれない。
ちょっと気になるのは年金やマイナンバーである。
当然ながらこれらは、情報処理技術的にも、物理的にも、運用的にもかなり高度な仕組みで管理されている。しかしどこまでいっても最後は人である。
尼崎の一件は本稿執筆時点で、事件なのか事故なのかもわかっていない。あくまでも仮定の話だが、担当者が個人的な判断でUSBメモリーを使って情報を持ち出したのだとしても、彼(彼女)一人を処分して一件落着であってはならない。そんなことが起き得てしまう構造にこそ、(特に尼崎市民は)意識を向けなければならないだろう。
優れた技術、優れた理論。
それだけで人や社会は幸せになれない。そこに携わる生身の人間が、どのようなものの考え方をもって取り組むかという、一種の哲学のようなものがどうしても必要なのである。
