  |
メールのウィルスを踏む。というあまりにも古典的で分かりやすいものがトリガーになってしまったせいで
無能お役所のヒューマンエラー案件にされそうなので、少し書く。
ちょうど概要をまとめた絵があるので、これを見ほしい。
http://f.hatena.ne.jp/Kango/20150601230350
確かに直接的原因は、赤の矢印であり、アホの子職員のミスである。
が、本当に注意しなければいけないのは、青の矢印である。
ニュース等では、パスワードをかけていなかったため内規違反の可能性がある。
もちろんそれは正しいのだが、それだけではない問題が発生している可能性がある。
そして、それが重大な問題の可能性があるのだ。
では、青の矢印の「ある業務で一部データを抽出」が必要になった理由を考えてみよう。
これは大別して二つのケースが考えられる。
①急で特殊な業務が発生して、基幹システムでは対応できないので一時的な運用がされた。
②基幹システムで対応できない通常(またはそれに近い)業務があり、現場でそういう運用が常習化している。
①ならば、ヒューマンエラーと重なった不運という見方も確かにある。
そうではない。
これはもはや、基幹システムの形骸化であり、いくら基幹システムをセキュアに保ったところで
インターネットに接続可能な社内LANのファイル共有サーバーにおかれてるのと同義である。
設計や運用を含んだシステム化方針そのものを見直すべき事態である。
末端のアホのせいとか笑ってる場合じゃない。
なぜかと言えば、これがシステム化方針が起因とした問題である限り
この方針は、このまま別のシステムにも適用されている可能性があるからだ。
ここからは推測の話であるが、陰謀論をここで披露するのはちょうど良いかと思うので続けよう。
①か②、どちらの可能性が高いか。
それを考慮する材料は、ニュースによって情報が色々とあるので並べておく。
では、今回のケースが急な業務の割り込み対応だったとして考えてみよう。
もし急な業務だったら抽出したデータは、長期保管されていないはずである。
長期保管が起きていたのなら、それは既に常習化と変わらないため、内規的にありえないからだ。
では、そのような一時的なファイルを作るだけのために、内規違反であるパスワード未設定にしたのはなぜだろう。
メールを踏むような、バカ社員なら、そんなことをしかねがない。
急で一時的データでも怠慢でパスワードをしてないという運用だったのかもしれない。
それはそれであれだが。。。。
しかし、思い出してほしい。
パスワードは、あくまでも「一部だけ」されていなかったのである。
では、なぜパスワードありのファイルと、無しのファイルが存在するのか。
これは、データ抽出されたタイミングが違う可能性を示唆している。
担当者が異なる。何度も繰り返して手を抜く。等によって、運用が変わった可能性だ。
抽出れたデータが一定期間残されていた可能性も同時に示唆している。
さらに、今回の事件は、攻撃してから流出の期間が10日しかない。
たまたま、5月に新しい業務の割り込みがおきて、たまたま、その期間にハッカーが攻撃して
たまたま、データが残されていて、流出した。そんな、悲劇だったのだろうか。
そう考えるより、全てをブチ壊した運用が、組織的に常習化していたと考える方が
日本年金機構の情報漏えいについてまとめてみた - piyolog http://d.hatena.ne.jp/Kango/20150601/1433166675
おれ役人なんだけど,今回の年金情報流出ってどうしとけばよかったの http://anond.hatelabo.jp/20150602075341
よくある話ぽくてやばい
http://anond.hatelabo.jp/20150602011950 消えた年金といい、流出といい、公的インフラなので対処が必要になる。対処が必要になると予算が要る。問題を起こした奴らと管理職の待遇を下げるべき...
これがマイナンバー制度のシステム内で起こったらどうなる?
安倍退陣
36
