タグ別アーカイブ: 運用

日本年金機構の情報漏洩について

元セキュリティエンジニア
運用コンサルティングをやる立場から思ったこと

まとめはpiyologさんの所が詳しいので下の記事でそこで

日本年金機構の情報漏洩についてまとめてみた(piyolog)

http://d.hatena.ne.jp/Kango/20150601/1433166675

・攻撃は普通のマルウェア
・システムも当たり前のセキュリティは構築しているはず
ですので

ポイントは、

  • 職員のPCと、漏洩しては困る情報の隔離
  • 上記の環境でネットにつなげるのであれば、インバウンドは厳密に決めるべきだが、アウトバウンド側のルールをもっと縛っておくべきだった(通常はつなげないのが当たり前。)

つまり、当たり前の運用ルールを徹底して運用して無かった事が問題と思われます

所謂、単なる使い方の問題

それだけの話です

技術的な事、運用のことは、様々な人が議論をすると思われるので
そこも置いておき

頻繁に起こる漏洩問題に対しての対応&責任の取り方です

中の人は、その組織の中で重い責任はとらされると思います
世間的にどの程度の内容でしょうか?

お役所仕事と言われるように上の人ほど、3,4年で別の部署が国の組織です。その間だけ何とかなれば、逃げ切れてしまう。(ここは、日本の国が良くならない理由だと思っています、官僚が悪いのではなく、人事制度。)

必ずやるであろうセキュリティアプライアンス導入やコンサルティングを請け負う業者さんが儲かるだけなんでしょうか?

このシステム、原発問題と同じで、トラブルは起こら無い前提だったと思います。
信じられないくらいの予算が与えられ、普通に考えたら堅牢なシステムだったと思います

その次に、大規模な漏洩事件も頻繁に起こるようになりました。
ここ最近ではベネッセです。

マイナンバー導入が決まった今、もっと真剣に考えていかなければ、ならないのではないでしょうか?

個人的に、漏洩事件に一般の人が慣れてきているのも心配です
各企業のインシデント後の対応も、実際あれで良いのか心配になります。
こう言っては駄目なのでしょうが、破られたら考える。本気でそう考える人も出てくる気がします。

完璧なシステムは無い、だからこそ、今一度運用、システムは勿論ですが、セキュリティについては考えて行きたい問題です。

今回は国が起こした問題として問題は根深いです