行政 個人情報の保護:業務システムのセキュリティ対策

日時:7月20日(水曜日) 午後6時30分~8時30分
場所:TKP東京駅八重洲カンファレンスセンター
   中央区京橋1-7-1
司会:山田肇(東洋大学経済学部教授、ICPF理事長)
講師:上原哲太郎(立命館大学情報理工学部教授) 

上原氏の講演資料はこちらにあります。

冒頭、上原氏は講演資料を用いて概略次のように講演した。

  • ベネッセで個人情報の大量漏えい事件が起きた。USBで管理端末から情報を抜き出すことはできないようにしていたが、スマホを繋ぐとMedia Transfer Protocolで情報が引き出せるようになっていた。この脆弱性が付かれた事件である。5次に渡る集団訴訟が提起され、会員数は100万人以上減少するなど大きな影響が出た。ベネッセはセキュリティ事業者と合同で情報管理専門会社を設立し、業務システムを見直し、第三者委員会による定期的監査を受けるなど、再発防止に取り組んでいる。
  • 個人情報の需要がある以上、内部犯行のリスクはある。ベネッセはシステムの不備を潰すのに時間と費用がかけたが、システムの堅牢性はなかなか世間にはアピールしないので会員数は戻っていない。そもそも、個人情報報道では件数ばかり話題になるが、機微性は問われなかったなどが、事件の教訓である。
  • 内部不正は防ぐのが大変だからこそ、IPAの「内部不正防止ガイドライン」を経営層はしっかり勉強すべきだ。完全な防止は無理だが抑止策はある。たとえば、ダミーデータを導入し、混入パターンから流出時期や流出に関わった者を特定できるようにする。そのことを従業員に通知して、抑止力にするといった方法だ。
  • 年金機構事件では標的型攻撃メールに狙われた。「狙われている」という危機感が足りなかったことを反省すべきである。また、インシデントレスポンス体制が不足し、IT投資も不十分だった。ネットから外した基幹系だけで業務を完結すべきところを、システム側の機能不足で処理できないため、情報側に移して処理するエンドユーザコンピューティング(EUC)が常態化していた。
  • 時代に合わせ業務を見直しながら「堅牢で効率的なシステムを作ること」、敵に先んじるために「あらかじめ情報を集めること」、それでも事故は起きるため「被害が拡大する前に発見すること」、起きてしまった事故に対し「速やかに適切に対応すること」、最後はヒトの問題になるので「責任ある体制を整えること」を訴えたい。
  • 攻撃者は多様化している。金銭目的の人たちはフィッシング、ネットバンキングを狙ったマルウェア攻撃、ランサムウェアなどを仕掛けてくる。諜報目的の人たちは、標的型攻撃を仕掛けてくる。手口は多彩で、マルウェア対策があまり役立たない。その上、彼らは成功するまで諦めない。攻撃のほとんどはメールかWebであり、ファイアウォール/proxy越えは容易である。境界線防衛モデルは限界にきた。諜報目的の人々は、技術的には荒削りだが人海戦術がすごい。標的にあまり一貫性がなく、金にならなくても狙うといった特徴がある。
  • では私たちは何をするべきか? 堅牢なシステムはまず堅牢なWebシステムから始めるべきだ。発注時にはセキュリティ要件を仕様に入れ、最低でも「健康診断」を実施すべきである。標的型攻撃対策はWebとメール対策である。SPF/DKIM S/MIMEといったメールのなりすまし対策、ウィルス対策、Web proxy導入・フィルタリング、次世代ファイアウォール・サンドボックス・「逆向きファイアウォール」などが求められる。
  • 年金機構事件を受けて、自治体がとった強靭化策には三つの柱がある。連絡報告体制の整備、ネットワークの系統分離(特にインターネットと業務系の分離)、自治体情報セキュリティクラウドの整備である。ネットを切り離されると仕事にならないという話を聞くが、仕事に絶大な影響があるのは百も承知。だが、他に手はないのだ。ネットに接続しなくてもできるように、仕事のやりかたを変えるべきだ。ネットからの分離は確かに有効だが、業務効率の低下は避けられない。クラウドサービス全盛のこの時代に何のために情報システムを入れるのかから考え直して、仕事のやり方を変えてほしい。情報システム全体を最初からセキュリティ対策しておくのは、もちろんのこととして、「仕事のやり方」を変える勇気と努力が足りないのではないか。業務のセキュリティ・バイ・デザインが求められている。
  • 汎用vs専用、多機能vs単機能のどちらが安全か。Keep It Simple and Stupid(KISS)原則は今も生きている。全入力・全機能に渡る脆弱性検査は汎用・多機能では困難になるからだ。システムは単純な、単機能型で作るほうが安全になる。標的はシステムではなく「人」である。現状狙われているのは「人」に不定型なデータを拾わせる機会である。そのような機会が、本当に必要なのかもう一度問い直そう。セキュリティ対策に金をかけるよりも、まずは業務を改善してシステム化することに金をかけよう。
  • 個人情報保護法は「漏えい防止法」ではない。個人情報利用に対し本人に許可を求め、その範囲内での使用であることを保証する仕組みである。個人情報が漏れた時には、「何が漏れたか」が問題にされるべき。件数ではなく、機微性に応じてメリハリを付けないと、いつまでもプライバシーにはたどり着かない。

講演後、以下のテーマで討論が行われた。

漏えいと機微性について
Q(質問):何が漏れたらまずいと考えるべきか。この点で、今の制度は変更が必要ではないか?
A(回答):個人情報は機微性によって分類されている。したがって、この機微性に注目して問題を把握し、行政指導につなげる体制が必要である。
Q:漏れた情報を利用して、たとえば金融取引を行うといった、「漏えいの連鎖」が問題なのではないか?
A:たしかに問題だが、今は分析が不足している。
Q:暗号化のツールがもっと容易に手に入るようにならないか?
A:暗号に信頼を寄せすぎるべきではない。暗号化したから大丈夫というのは思考停止である。暗号そのものが破られることはあまりないが,鍵管理の不備を突かれることはよくあるからだ.
C(コメント):暗号化したファイルを添付して送信して、すぐ次に暗号キーを送信するといった、全く無意味なセキュリティ対策が横行している。
Q:セキュリティコストには、レピュテーションやブランドを守る価値があるのではない?
A:今までセキュリティを強調し過ぎてきた。KISS原則で業務システムを作り直すといったことに、もっと力を入れるべきだと主張したい。

セキュリティの向上策について
Q:ネット金融取引を平気で受け入れる人々が、政府・自治体のシステムになると疑念を持つのはなぜか?
A:立ち位置が民間のほうが利用者に近い。それに、行政には権力があり、暴力装置を持っている。そのようなことが、警戒感の原因と考えている。
Q:中小企業のセキュリティリスクにどのように対応していくべきか?
A:しんどい。京都では、府警が中心となって、商工会議所、中小企業応援隊などが啓発活動を実施している。業界ごとの総会に押しかけてセキュリティについて講演している。
Q:高齢者の生活を支えるために、医師・看護師・ケアマネジャー・家族などが情報共有システムを作るという動きがある。機微な情報を扱うわけだが、セキュリティ専門家として、アドバイスはないか?
A:医師は究極の個人情報を扱っているために保守的である。彼らが加わるので、情報共有システムもセキュリティは考えているはずだ。医療IDにマイナンバーを用いるか、といった議論の際にも、医師が保守的な主張をした。一般論としてセキュリティ意識は高いと評価している。