韓国から見た日本年金機構の個人情報漏えい事件を語る
マイナンバー社会保障・税番号制度の施行を目前に、必要なセキュリティ対策とは。
日本年金機構の年金情報の管理システムがハッキングを受け、125万人もの個人情報が漏えいされる大事故が発生した。日本の公共機関としては史上最大規模の事件であり、今後被害がさらに拡大する恐れもあることから、マイナンバー社会保障・税番号制度の施行を目前に、個人情報の管理における懸念や不信の声が高まっているという。
韓国では常に目にしている「このシーン」が他国でも起きていることを見ていたら、妙な気持さえする。「ようこそ、地獄へ」
各種メディアから報道されている事件の全貌から、その本質と核心を探ってみたところ、どうやら、セキュリティ対策といって、何をどうすればいいのか、はっきりしていない。一つずつ綿密に突き詰めていけば、問題の核心に近づけるはずだ。
現段階であがっている問題とその対策は、概ね以下の通りだ。
「発端はウイルス感染なので、問題はアンチウイルスソフトなのか。」
「組織の内部ネットワークによる拡散なので、ネットワークセキュリティに集中するべきなのか。」
「データを安全に保管していなかったので、データベースを暗号化すれば、済むのか。」
1. アンチウイルスソフトは対策にならない
最初にウイルスを発見した時、外部の管理会社は、「情報を漏えいできるようなウイルスではない」と判断した。恐らく従来型のウイルスを装った悪性コードであろう。アンチウイルスは、既存のリストからマッチングさせるシグネチャベースであるため、そもそものはなし、その限界がある。最近の情報セキュリティの傾向をみると、「アンチウイルスの導入は、基本中の基本」とみられる。しかし、実際には、それは対策にはならないのだ。攻撃者の立場で考えてみよう。「標的」を定めた攻撃者は、既知の攻撃のパターンを用いるバカなことはしない。市販のアンチウイルスソフトにてテストしてから攻撃に挑むだろう。だからと言って、市販のアンチウイルスソフトが不要というわけではない。少なくとも、「新米」のハッカーによる攻撃に対する対策としては、十分有効だろう。
2. ネットワークのセキュリティ対策で済む問題ではない
殆どのWebハッキング攻撃のパターンは、通常1次攻撃と2次攻撃にわけて考えられる。1次攻撃は、外部から標的の内部ネットワークに潜入すること、そして、2次攻撃は、1次攻撃の成功を持って内部のネットワークおよびシステムを支配し、目的を達成することを意味する。2次攻撃により成し遂げたいのは、「重要なデータ」である。最近の攻撃には、一昔前までの攻撃のようにただシステム上不具合を意図する愉快犯的な試みもないわけではないが、大規模のシステムを狙う場合のコストを考えても、得るもの(対価)がなければ、狙うも者もいないのが定説になっている。得るものとは?個人情報といった、いわゆる「カネになるもの」であることは、想像に難しくないだろう。
今回の事件に戻ろう。1次攻撃の試みとしてEメールを用いていることに注目する必要がある。通常のネットワークレベルのセキュリティ製品では、Webを介し転送されるEメールやWebコンテンツを監視対象にすることができない。「コンテンツ」はネットワークのL7(OSI 7レイヤによる分類)にてその「正体」が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できないためだ。ここでL7を監視できる「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の出番となる。
だからこそ、ただ「ネットワークセキュリティ」だけでは、済む問題ではないというのだ。最初に感染した福岡支部の職員のパソコンをネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認され、すぐさまその広がりをみせた。ネットワークセキュリティにおける階層の脆弱性を利用したに違いないだろう。一体どれだけ「WAF導入の必要性」を訴えれば、分かっていただけるのか。残念なことばかりだ。
3. 単なるデータ暗号化では、十分ではない
今回の事件の当事者である日本年金機構やその監督機関である厚生労働省の方なら大変耳障りであるお話になるが、そもそもの話、なぜデータの暗号化をしていないのか。これは国民の個人情報を扱っている機関として恥を知るべく、この場を借りて指摘したい。もはや日本も韓国のように個人識別番号のマイナンバー社会保障・税番号の制度の施行を目前にしているものの、個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていく等、特段の措置を取る必要がある。言うまでもなく、当然なことであろう。
「データ暗号化」は、事実上非常に複雑なものである。そのアルゴリズムは簡単であるものの、暗号化は複雑である。なぜだろう?
今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。韓国がそうであった。そして番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合も必ず出てくる。そのため、なりすまし防止への対応と同時に多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。要するに、単なる暗号化ではなく、「データ暗号化プラットフォーム」の構築が求められているということが言いたい。今回のような個人情報の漏えい事件により、当分は本人確認手続き等が厳しくなるだろうが、同時にデータ暗号化の仕組みは、ICTシステム全体にわたって適用されなければならない。単なる暗号化製品を提供している会社はいくらでもある。しかしながら、データ暗号化プラットフォームの全体をカバーできる暗号化専門会社は、そうはいない。必ず暗号化のコア技術を保有している「専門会社」と相談してもらいたい。
事件の全貌やその対策に関して検討してみた。 繰り返しいうが、韓国では、常に目にしていたシーンであり、日常茶飯事である。
日本の開発者、そして個人情報の管理責任者に言いたい。韓国では10年以上も前から毎日のように目にしていることであると。個人情報の管理と漏えいの問題は、日本にとっても他人のことではないことを認識してもらいたい。