そう言えば、どっかの国のなんかの大臣が、
「マイナンバーは、最新鋭のファイアウォールに護られていて漏洩はありません。」
みたいな発言をしていたけど、これって、とんちんかんな回答だよねぇ。

「マイナンバーは、政府しか持っていなくて、他の何処にも存在していません。活用もしないので漏れません。」

っていってるのかな？


どんな（マイナンバーのような）IDも、情報同士を連結させるためにキーとして存在しているわけで、
活用すればするほど、情報が保存される場所は増えていくわけです。

保存される場所が増えれば当然、情報漏洩のリスクは、級数的に増大していくわけで、
「漏洩しません」
では無くて、
「漏洩しても・・・のような対策をしているので大丈夫です。」
でなければいけないわけです。

しかし、実際、マイナンバーは人を雇っている全ての企業・組織・団体が「個人情報と連結させて」管理する必要があるわけで、
中小企業などから漏れた場合の対処なども必要になります。

もう、端から「どっから漏れてもおかしくない」状態で運用が開始されるわけです。

「漏らしたら罰則があるので大丈夫」
とか言う人が居たら、笑うしか無いのですが、
仮に、「漏らした企業・団体・組織は、即解散して貰います。」
と言う罰則をつけたとしても、漏れるときは漏れるわけです。

今回の件「年金情報の漏洩問題」なんかは、端的な例でしょう。

政府にまともなセキュリティを論じられる人が居ないことは大臣の答弁から判るとして、
実際に導入作業している人が、「セキュリティ専門家の意見を聞いたとしても」、
セキュリティの考え方の基本も知らずにシステムの設計や情報収集の設計を行っているのだとしたら、
あるいは、中小企業の現場を知らずにシステムの設計や情報収集の設計を行っているのだとしたら、
とんでもなく暗い未来が待っているような気がします。


そうならないように切に願います。

年金機構からの情報流出について、私が調べた限りでは、相当な疑問点がある。

先ず
第一点、メールの添付ファイルを開いたらウイルス感染したとなって居るが、EXE形式の添付ファイルをブロックしていなかったの？
第二点、流出した情報って、「流出が確認できた情報」の間違いじゃ無いの？
　　　　　　ファイルサーバのログから流出情報って本当に特定できているの？
第三点、最初に確認されたウイルスって、いわゆる「ウイルスドロッパー」だよねぇ。
　　　　　　ドロッパーがダウンロードしたはずの二次ファイルって検体採れたの？いつ？
第四点、機構内部のPCからPCへのウイルス感染があったの？
　　　　　　どんな脆弱性を突かれたの？管理者権限のあるアカウントを共有していたの？
等々。

第一点は、
ある程度、セキュリティ意識のある組織であれば、メールの添付ファイルブロックは必須。
にもかかわらず、実行形式のファイルが手元に届いたと言うことが不思議でならなかったわけです。

リンクでダウンロードしてしまったと言うならもう少し分かる話なのですが、リンクならもう少し警戒できましたよね・・・たぶん・・・？！


第二点は、
情報へのアクセス監査ですよね。基本ですよね。特に語りません。


第三点は、
「最初に検出されたウイルスは情報を盗むタイプのウイルスではありませんでした」という発言から間違いないと思うんだけど、
最近の標的型攻撃では、攻撃対象以外からアクセスされてもウイルス本体をダウンロードしないように作ってあるのは普通のことなので、
最初のウイルスだけでは、ウイルス対策ベンダーは二次攻撃に使われたウイルスは入手できなかったはず。

でも、情報は明らかにこの段階で漏洩しているわけで、「内閣府からの情報もあったわけで」、大臣の発言は全く要を得ていないことは明白。

機構内に専門家が居れば、辻褄があっていないことは直ぐに判ったのでは無いかと思うわけです。


第四点は、
機構内部でPCからPCへの感染があった様に報道されていたことに疑問を思ったわけです。

PCからPCへの感染って、結構簡単じゃ無いのですよ。

OSの緊急のセキュリティパッチが当たっていなかったとかでも無い限り、ユーザの操作が無いと感染を広げるのは難しいのです。
そんなに簡単なら、世界中のPCはウイルスだらけになってしまうのですよ。

唯一の正規の手段は、ユーザ一人一人がPCの管理者権限を持っていて、しかも、アカウント共有がある場合。
この場合は、簡単にPCを乗っ取れます。

でも、通常は、ユーザは管理者権限を持っていないし、共通のアカウントなんて、ドメインの管理者くらいで、
ドメインの管理者アカウントは、厳重に管理されていて通常業務では使わないはずなので、
そもそも、感染を広げることなど出来ないものなのです。

では、なぜ感染を広げることが出来たのか。


税金で運営されている公共の団体が攻撃を受けて情報漏洩してしまったわけですから、
公共に対する福祉の意味でもそれぞれの事象の原因を全て公開し、
「一般企業はこんなことしちゃだめよ」
と情報公開して欲しいです。

「突っ込まれたり、つるし上げられたりが嫌だから情報を隠す。」
みたいなことをすると、そもそも原因が無かったことにされ、対策されないなどと言うことにもなりかねません。

しっかり原因に向き合って対策して欲しいです。

また、対策にも税金が使われるわけですから、責任者・関係者は減俸し、その中から対策費用を捻出して欲しいと願ってやみません。

問題を起こせば起こすほど予算を使いたい放題なんて甘やかしてはいけません。

一般企業なら倒産してもおかしくないのですから。


原因を隠蔽したら懲戒免職くらいの気概で当たって欲しいです。