2015/10/19
最近日本年金機構の情報漏えいのニュースが非常に多い。
この件については詳しくは調べていないがニュースを見ていて思ったのは何度も同じことを繰り返すということだ。
これは民間の企業では考えられない事だ。
様々な対策を行っているようだが
NISCという政府機関があり、そこが年金機構の漏えい原因について発表している資料を読んでみた。
NISCとは「サイバーセキュリティ戦略本部及び内閣官房内閣サイバーセキュリティセンター」という政府機関の事だ。
その内容はいちいちもっともな事が書いてあり正論だとは思う。
そこから導き出された結論は
(1) 各府省庁への情報提供が有効に機能するための対策
(2) インシデントに備えた体制の強化
(3) 標的型攻撃のリスクを踏まえたシステムの構築、維持、運用の強化対策
の各項目から成り立っており、ITの面や運用の面から見るとごもっともだ。
もちろんITセキュリティーに関する方法論としてはここを押さえなければならないポイントだとはだれが見ても分かる事だ。
情報漏えい防止の基本は個人個人の心構え
いくら仕組みを整えたところで、ハンドリングする現場の人間の意識が低ければどうしようもない。
これは今までのセキュリティー事故を見れば明らかだ。
確かに難しい部分はある。
外部委託している場合はそこまで意識を徹底できるかと言う問題もあるだろう。
しかしこれを避けては全体のセキュリティーはそこからほころびてしまう。
大きな組織になればなるほどそういったポイントは増えていく。
危機感の共有できない組織
テレビのニュースを見ていてセキュリティー担当者がマイナンバー関連で忙しくて対応が出来ていなかったというのがあった。
これは単純に忙しいのはもちろん分かるがキャパ―オーバーしているという事だろう。
それなら単純に人員の強化をすべきなのだ。
民間の企業ならこうしたセキュリティー事故を何度も繰り返すということはありえない。
その組織が存続できなくなるからだ。つまり潰れたり吸収されたりという事態に発展する。
しかし政府組織はこれが無い。実態も変わっていない。なんとお気楽な組織なのだと思う。
末端の人員まで意識を浸透させないと職を失う事になるという切迫感が無いからこうなる。
公務員というのはそういった危機感を共有するのには不都合な組織だ。
でもこれが出来ないといつまで経ってもこうしたセキュリティー事故は絶えないと思う。
今回はこのへんで
では
