日本年金機構の個人情報流出についてシステム的な見地で考える

9 Jun

久しぶりの更新。僕もかつて個人情報を扱うシステムを設計・開発してたことがあるので、微力ながらみなさまに今回の問題点を知ってもらえらたらなと思って書きます。
(*)あくまでも現時点におけるあらゆる記事を読んだ上での推測です。

結論からいうと今回の直接的な原因はシステム側の問題が大きいと思います。どんなに個人レベルで徹底しても、遅かれ早かれ流出したんだろうなと思います。とりあえず色んな記事を読む限り、今回のシステムは大まかに以下みたいな感じかと思います。

nenkin_1

で、流出経路は

nenkin_2

こんな感じに、誰でもアクセスできる共有サーバーに絶対に漏れちゃいけないデータが125万件も、かつ無防備に置いてあったことがシステム的に大問題です。システムを考える時に、まず第一に考えなければならないのが、もし最悪サーバーのハッキングにあった場合、データの丸コピされただけで流出することを防ぐのを念頭に置きます。
なので、例えばこういう構築をします。(年金ともなればもっと複雑化するのだと思う)

nenkin_3

この例でいうと、最悪マスターデータが丸コピされたとしても、暗号化(≠パスワード)してあるため最終的な流出にはなる可能性がかなり落ちます。また、解読の方法は一定のアルゴリズムを介す必要があるようにしておきます。System Administrator でさえ、可逆の(解読用の)アプリケーション(この例だと年金閲覧システム)を通さないとデータを見ることができないのがベストです。

ウィルスに感染してもアクセスができる経路があるじゃないか!という感じにみえますが、この例だとアプリケーション(年金閲覧システム)にいくらでもセキュリティがかけられるので、(例えば1ログイン5分で切れるとか、正しい順序で操作しないとセッションが切れるとか、一度に付き50件までしか閲覧できないとか)、仮に一般職員のPCがウィルスに感染しても大規模な流出にはならないと思います。

今回の例の用に、データがDVD持ち出し+パスワードみたいにデータがコピーされてしまうと、セキュリティが個人にゆだねられるのでそれこそ超危険です。最悪、125万件のDVDが名簿屋に売られることさえあり得ますし。結局、遅かれ早かれ流出してたでしょう。なので、今回ウィルスを踏んだ職員とかだけを責めるのは違うかなーとおもいます。

システムを考えるときは機密性と可用性のバランスが重要なんですが、今回は機密性が高すぎたが故に運用面で問題が生じて、バッドノウハウが常態化してしまった。そんな所だと思います。それならば、敢えてみんなが使いやすい様にアプリケーションを構築して、クリティカルポイントを少なくしてかつ、そこを使いやすく最大限強固にすれば(内部向けにネットバンク並みのシステムを構築する)、良かったのではないかと思います。

理想論はそんなところなんですが、せめて個人情報を置く可能性がある共有サーバーは数日で勝手にデータが消えるくらいの運用はしてほしかったですね。せいぜい日々使うデータは数万もいかないとおもうので、その運用するだけで件数自体は大分減った気がします。

僕も専門家ではないので突っ込みどころあるかもしれませんが、みなさんの理解の役に立てれば幸いです。

Leave a Reply

Your email address will not be published. Required fields are marked *