厚労省の報告書では日本年金機構のシステム設計と運用上の問題点が次のように指摘されている。
これらの問題点とともに、セキュリティ体制の脆弱性も指摘された。
また厚労省内では年金局が日本年金機構のLANシステムを監督し、同省全体の情報セキュリティ対策は政策統括官付情報政策担当参事官室(情参室)が担当していたが、いずれも責任部局であるという認識が薄く、積極的な指導監督が行われなかったという問題も指摘されている。同省にはCSIRTも構築されており、専門家であるCIO補佐官が5人配置されていたものの、いずれも非常勤であり、情参室職員や他のCIO補佐官と常時緊密に連携できる体制になく、実効性に欠けるものだった。
これらの体制の不備や中途半端な運用が、図1に見るような後手の対応につながり、適切な緊急対応にならなかったことが報告書から如実に浮かび上がる。では、民間企業のセキュリティ体制はどうだろうか。今や標的型攻撃の対象となるのは政府機関や大企業ばかりではない。中堅中小企業であっても日本年金機構事件は対岸の火事ではない。上記の問題と同様の脆弱性が自社にないかを早急に点検し、まずはインシデントへの緊急対応が適切にとれる体制を作り上げることが急務といえる。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。