2015-06-02

日本年金機構情報漏えいは、ヒューマンエラーとは限らない。

メールウィルスを踏む。というあまりにも古典的で分かりやすものトリガーになってしまったせいで

無能役所ヒューマンエラー案件にされそうなので、少し書く。

本当に気にするべきこと。

ちょうど概要をまとめた絵があるので、これを見ほしい。

http://f.hatena.ne.jp/Kango/20150601230350

確かに直接的原因は、赤の矢印であり、アホの子職員のミスである

が、本当に注意しなければいけないのは、青の矢印である

「ある業務で一部データ抽出

ニュース等では、パスワードをかけていなかったため内規違反の可能性がある。

これもヒューマンエラー的な協調がされいてる。

もちろんそれは正しいのだが、それだけではない問題が発生している可能性がある。

そして、それが重大な問題の可能性があるのだ。

なぜ、データ抽出必要になったのか?

では、青の矢印の「ある業務で一部データ抽出」が必要になった理由を考えてみよう。

これは大別して二つのケースが考えられる。

①急で特殊な業務が発生して、基幹システムでは対応できないので一時的運用がされた。

②基幹システム対応できない通常(またはそれに近い)業務があり、現場でそういう運用が常習化している。

①ならば、ヒューマンエラーと重なった不運という見方も確かにある。

②をヒューマンエラーとして考えても良いのだろうか。

意味を失った金庫。

そうではない。

②については、システムに起因した重大なインシデントである

これをヒューマンエラーで終わらしてはいけない。

これはもはや、基幹システム形骸化であり、いくら基幹システムをセキュアに保ったところで

それは全く意味をなしていないのと同義である

ようするに、年金機構セキュリティ強度は

インターネット接続可能な社内LANファイル共有サーバーにおかれてるのと同義である

設計運用を含んだシステム化方針のものを見直すべき事態である

末端のアホのせいとか笑ってる場合じゃない。

パスワードかけ忘れたテヘとか言ってる場合じゃない。

なぜかと言えば、これがシステム化方針が起因とした問題である限り

この方針は、このまま別のシステムにも適用されている可能性があるからだ。

アナンバーハダイジョウブ?

探偵ごっこの世界にようこそ

ここからは推測の話であるが、陰謀論をここで披露するのはちょうど良いかと思うので続けよう。

①か②、どちらの可能性が高いか。

それを考慮する材料は、ニュースによって情報が色々とあるので並べておく。

システム統括部がデータ抽出

・一部のファイルだけパスワードはかからない

ハッカー攻撃から流出までの期間は約10

急に業務が来たので

では、今回のケースが急な業務の割り込み対応だったとして考えてみよう。

もし急な業務だったら抽出したデータは、長期保管されていないはずである

長期保管が起きていたのなら、それは既に常習化と変わらないため、内規的にありえないからだ。

では、そのような一時的ファイルを作るだけのために、内規違反であるパスワード未設定にしたのはなぜだろう。

メールを踏むような、バカ社員なら、そんなことをしかねがない。

だが、このデータ抽出を行ったのは、システム統括部である

急で一時的データでも怠慢でパスワードをしてないという運用だったのかもしれない。

それはそれであれだが。。。。


しかし、思い出してほしい。

パスワードは、あくまでも「一部だけ」されていなかったのである

これは、パスワードがされている運用もあったということだ。

システム統括部をただの無能扱いするのは早計である

私わかっちゃいまいた。

では、なぜパスワードありのファイルと、無しのファイル存在するのか。

これは、データ抽出されたタイミングが違う可能性を示唆している。

担当者が異なる。何度も繰り返して手を抜く。等によって、運用が変わった可能性だ。

そして、運用が違うデータが同時に流出したということことは

抽出れたデータ一定期間残されていた可能性も同時に示唆している。

急な割り込み対応でした。と考えるのは既に違和感しか無い。

不幸は連鎖するから不幸なんだ?

さらに、今回の事件は、攻撃してから流出の期間が10しかない。

たまたま5月に新しい業務の割り込みがおきて、たまたま、その期間にハッカー攻撃して

たまたまデータが残されていて、流出した。そんな、悲劇だったのだろうか。


そう考えるより、全てをブチ壊した運用が、組織的に常習化していたと考える方が

陰謀論的に飲み込みやすいのではないだろうか。


まとめてるブログさんありがとう

日本年金機構情報漏えいについてまとめてみた - piyolog http://d.hatena.ne.jp/Kango/20150601/1433166675

おれ役人なんだけど,今回の年金情報流出ってどうしとけばよかったの http://anond.hatelabo.jp/20150602075341

記事への反応(ブックマークコメント)

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん