目標はどんな業種も「プラス・セキュリティ」：宮田健の「セキュリティの道も一歩から」（77）（1/2 ページ）

「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、2015年の日本年金機構情報漏えい事件からの学びとして、必要かつ十分なセキュリティ対策を実現できる能力の重要性について紹介します。

[宮田健，TechFactory]

本記事は「TechFactory」に掲載された会員限定コンテンツをMONOist向けに再編集した転載記事となります。［全文を読む］には、会員登録（無料） およびログインが必要になります。

　皆さんは日本年金機構の情報漏えい事件を覚えておりますでしょうか。2015年に発生した事件で、大きな注目を集めたことは記憶しているのではないかと思います。漏えい内容や件数はさることながら、私はこの事件を「本来アクセスできないようにしている情報が、人の手によってコピーされ、攻撃者がアクセスできるような場所に置かれていたことで漏えいが発生した」と認識しています。発生からは7年が経過しましたが、今でもこの事件は学びが多いと思っています。

図1　年金機構のネットワークにおいて、情報系が基幹系と論理的に分離されていたにもかかわらず、中間ファイルが情報系PCに残っていたために漏えい事件が起きた（日本年金機構における個人情報流出事案に関する 原因究明調査結果より引用）

日本年金機構における個人情報流出事案に関する 原因究明調査結果（サイバーセキュリティ戦略本部）

よくぞ出した、NISCの調査報告！ | セキュリティ対策のラック

日本年金機構の情報漏えいについてまとめてみた - piyolog

　セキュリティは「壁」に例えられることが多いです。そのように表現すると万里の長城のような強固なものをイメージするのではないかと思いますが、実際はスポンジのように、いろんな大きさの穴があると思っています。その穴をふさぐも開けるも、全ては「人」によるのです。

勝手な業務効率化が大きな被害に直結するかも？