自治体の｢セキュリティ対策｣でやりがちなミス ｢総務省ガイドライン｣改定のインパクトは？

（写真：metamorworks/PIXTA）

今や社会基盤へのサイバー攻撃はまれなことではないが、やはり忘れてはならないのが2015年に発生した日本年金機構に対する不正アクセス事案であろう。機構職員が攻撃者から送りつけられたマルウェア付きのメールを開封して端末が感染したことにより、年金加入者の個人情報が約101万人分も窃取されたという、社会に大きな影響を与えた事案である。

【写真】神奈川県のHDD不正転売を受け、｢総務省ガイドライン｣はどう改定された？

このときに使われたのが、「Emdivi」と呼ばれる遠隔操作型のマルウェアだ。メールに埋め込んだリンクを踏ませる、あるいは添付ファイルを開かせるような巧妙な手段を取る。

これまでは、大量に個人情報を保有する企業がターゲットにされるというのがサイバー攻撃のイメージであったが、日本年金機構の事案は直接国民に脅威が示されたことから、政府や自治体においてのセキュリティ意識を大きく高めたタイミングであったと言えるかもしれない。

自治体でも多い｢人的要因｣による事案

セキュリティ事案は、巧妙な技術的手段によってのみ実行されると思いがちであるが、実のところ人的要因によっての発生が多い。執筆者が所属する大阪大学ではこの数年、セキュリティ事案のトップは「メール誤送信」である。

その主な原因の1つは宛先アドレスの誤りだ。例えば、Microsoft OutlookやApple Mail.appなどのMUA（Mail User Agent）ソフトウェアでは、宛先アドレスを入力する際にアドレスを補完する機能が備わっており、そこから似たようなアドレスが入力されてしまうなどの問題が起きうる。そしてもう1つは、個人情報が格納されたファイル添付によって起きうる情報漏洩である。こうした事案は、どう防げばよいのか。

本学では、メールでファイルを共有する際は可能な限り添付は行わず、Microsoft SharePointなどのクラウドを利用してリンクのみを送信するように意識づけを行ってきた。もし誤った宛先に重要なファイルを送信してしまったとしても、当人が気づいた時点でクラウドからファイルを削除すればその時点において漏洩は止められる。これは100点満点の解決ではないが、リスク軽減の観点から容易な手段と言えるかもしれない。

もちろん、クラウドにアップロードしてよいかどうかを判断する機密性レベルについてはその組織が決めたルールに基づく必要があるが、こうした規定類の策定なども組織でのセキュリティ意識を高めるよいきっかけになる。