改めて「消えた年金」番号

１２００千件以上の年金番号漏洩があったそうです。
色々疑問がありすぎて・・・
ちゃんとしたプレスリリースをしないものだから「群盲象を撫でる」有り様


まず、最初の「攻撃」は５月８日だったそうです。
一ヶ月前の話ですが（この手の世界では大昔ですが？！）未だに事実解明が明らかでない。
明らかなんだけれども公表できない「恥ずかしい事情」がある・・のかって勘ぐる向きもあります。


一体どんなウイルスだったのか？
添付ファイルに感染するなんて古典的である。
まったくの「新種」だったのか？
不審なメールの添付ファイルは開封しないって常識ですが、
そのような常識をくつがえすような斬新性があったのか
ファイヤーウォールでの防御はどうなっていた？
まず、不審なメールはスパムとしてあらかじめ排除するのが当たり前ですが・・・
さらに「入り口での添付ファイルのウイルスチェック」は常識であるが、
ゼロデイ攻撃には弱点がある。
その「脆弱性」を点かれたのでしょうか
要するに「高度な攻撃」だったのですかねえってこと・・・（苦笑）

個人年金情報がＰＣサイドにストレージされていた？
まさかって誰でも思います。
サーバーサイドに決っているでしょう。
そうでないならシステム設計上とんでもない「瑕疵・欠陥」のたぐいです。
過日の東京地裁判決（確定判決）を敷衍すれば・・・
開発要件に記述がなくとも開発者として当然やっておくべきセキュリティ対策ということに
なりますし、訴訟沙汰になれば、年金機構側が有利ってことになる。

業務用ＰＣがＷＥＢ接続できることが「罪悪」ですかねえ？
官庁なんかでは、イントラネット専用端末と外部接続端末を使い分けしてる事例がありますが、
これは「一人二台」という贅沢な税金の使い方。
王道は外部接続を前提に防御策を作っておくこと。
そもそも、外部接続が全くできないＰＣとは入り口のない家屋みたいなもので論理的に
成立しない（極めて特殊な業務領域のみでは入り口だけ出口だけってルート設定はしますが・・）

情報漏洩事件の場合「お詫び料の相場」はどの程度か？
それ以前に「お詫び料」を出すのかって議論もある。
ローソンやベネッセの事例では一人五百円程度。
しかし、年金番号（個人財産情報）ともなれば、傾向的に相場は跳ね上がる。
払う・払わないのは勝手といえば勝手だが、原資は税金（まるで泥棒に追い銭）
私企業からすれば、被害が発生したのかどうか判然としない中「お詫び料」を支出するのが
当たり前って・・・雰囲気はある種「不思議の世界」としか思えない。
払わないのであれば、それはそれで「支払わない理屈」を毅然と弁明してほしい。


年金機構は個人情報取扱事業者のはずであるが、
どうもそれにふさわしい管理制度があったかどうか疑わしい。
更に、来年早々からは「マイナンバー」を扱うことになりますが・・・
大丈夫ですかねえ？
少なくとも、安心できる物理的・技術的・人的対策が完備できるまでは
マイナンバーを扱うべきではない・・・って誰もが思うと思いますが・・・



注：執筆時点の公開情報のみで作成しましたので、時々刻々事実認識は変化しますが
　　文意は初版のママです。


－－－－以下追記

どうも、漏洩と同時にＮＩＳＣが自体を察知し、アラートを出したようです。
ここまでは、通常の業務処理スピードですが、その後の「無為無策」がなんとも・・・腹立たしい。

個人のＰＣにストレージされたいたというのは明らかな誤報ないし勘違いのようです。
共用ファイルサーバーに格納させていたらしい。
しかし、大量のデータをそんなところでレプリカで保管すること自体とんでもない話です。
ＰＷを設定すれば許容されるものでもなく、仮に認めるとすればもっと強固なセキュリテーが不可欠。