「日本年金機構は救いどころのない対応しかしていなかった」――。
2015年9月30日から10月2日まで東京ビッグサイトで開催している「ITpro EXPO 2015」で、日経コンピュータの井上英明記者(写真)が登壇し、日本年金機構の情報漏洩事件について講演した。講演のタイトルは「なぜ125万件は漏れたのか。年金情報流出問題を斬る」。
冒頭の発言のように、井上記者は講演を通じて終始、日本年金機構は適切な対応ができていなかったことを指摘した。講演を傍聴する来場者に対しては、標的型攻撃が近年増加していることを踏まえ、「次に情報漏洩事件を起こすのはあなたかもしれない」と、訴えた。
同事件を振り返ると、日本年金機構は2015年5月8日から20日までの間、4度にわたって標的型攻撃を受けていた。機構側に届いた標的型メールは合計で124通。5人が開封してしまい、125万件の年金情報が流出した。
情報流出の原因は、年金情報の管理・運用ルールが徹底されていなかったことや、システム的対策などが取られていなかったことなどだ。標的型攻撃を想定したセキュリティポリシーや、セキュリティ人材も不在だったという。
「事後対応にも遅れが目立つ」(井上記者)。機構が情報流出を公表したのは6月1日。しかし、その後8月20日までの2カ月以上にわたり、調査報告が発表されなかったという。調査報告は日本年金機構、内閣官房サイバーセキュリティ戦略本部、厚生労働大臣が立ち上げた第三者検証委員会から合計三つ発表されている。これらの報告書について井上記者は「どんなセキュリティの参考書よりも参考になる」と語る。
講演の最後、井上記者は事態の究明は不十分であることを指摘。例えば、情報流出したサーバーには調査が完了していないものもあるという。流出した情報の件数は125万件以上に上る可能性もある。「今後、追加で報告書が発表される様子もない。このままでは年金機構の情報流出問題が終わったとは言えない」として講演を締めくくった。
