日本年金機構の情報流出は標的型攻撃の脅威を知らしめた。この1月には、絶対に漏らしてはいけない情報であるマイナンバー(個人番号)を企業や団体が収集し始め、対策は待ったなしの状況だ。これに向けて政府が推すのは、「無害化・分離」と呼ばれる新たなセキュリティ手法だ。
「インターネットを、基幹系システムはもちろん情報系システムからも、物理的に切り離す」。日本年金機構は標的型攻撃によって125万件の年金情報を流出させた事実を公表した約半年後の2015年12月9日、厚生労働省に提出した「業務改善計画」で、対策強化の一つをこう表明した(図1)。
図1 無害化やネットワーク分離が推奨された経緯
国を挙げて無害化・ネットワーク分離が進む
[画像のクリックで拡大表示]
具体的には、Webサイトの閲覧とインターネットメールの操作のみに限定した専用PCを各拠点に設置する。基幹系、情報系、インターネットの3システムが並立するが、「セキュリティのためには必要不可欠」と機構の情報管理対策室は話す。業務上、不便が生じるのを承知の上で、再発防止に向けて思い切った対策を実施すると意気込む。
機構は、もともと基幹系システムのネットワークを分離していた。だが「LANの内部なら安全」という意識の下、2000年代から基幹系システムの年金情報を、情報系システムのファイルサーバーにコピー・共有する運用が常態化。「パスワード必須」「終わったら廃棄」などのルールが形骸化した結果、標的型メールによって情報系システムにマルウエアの侵入を許し、大量の年金情報を奪われた。
