システム屋さんの忘備録

今回の年金情報漏洩問題が発生してから「会社のセキュリティは大丈夫か？」と社内システム管理者に聞いてくる経営者が増えています。管理者は漏洩内容を知れば知るほど経営者に「はい大丈夫です」と答えにくいようです。セキュリティコストをかけない経営者ほど答えの難しい質問をしてきます。



ほとんどの経営者はセキュリティ対策の提案に対して、費用が高い、今まで感染したことが無い、そこまで運用出来ない等でセキュリティ対策導入をしていません。今まで大丈夫だったのは「狙われていなかった」だけであって今回のようなメールで標的にされれば高い確率で情報流出に繋がります。

年金機構ではメールと年金情報操作が同じＰＣで可能だったので可用性を優先したようです。「メールができなければ仕事にならない」「メール操作する同じパソコンで年金情報を操作する必要がある」と言ったきたセキュリティ感覚の無いユーザー、管理者の責任は逃れられません。今回の漏洩でセキュリティ導入コストを上回る費用がかかります。

銀行などではクローズされた特定の端末で無いと情報の操作閲覧できません。またプライバシーマーク等を取得している銀行はほとんどありません。銀行にとってプライバシーマーク程度の管理では不十分と思います。重要な情報管理セキュリティ対策には機密性 完全性 可用性に加えて完全な情報分離（クローズ環境）が必要と思います。

関連記事

• 社内システム管理者の大敵
• Googleアカウントが変更されました と表示されて困った
• ウイルス対策ソフト 2017年1月31日
• ウイルス付きメールに注意　2017
• システム関連予算の獲得
• 陸上自衛隊の内部情報が流出した可能性
• 情報処理安全確保支援士の創設
• 会社のセキュリティは大丈夫か？
• Superfishと言う広告ソフト
• Wi-Fi接続は危険なのでしょうか？
• ノートパソコン、タブレットなどの管理
• マイナンバーなどの制度改正対応
• ルータの脆弱性にＤＤｏＳ（ディードス）攻撃が発生
• 不正送金ウイルス感染ＰＣ、日本に１５万台超
• ベネッセの個人情報漏洩についてのコメントでジャスト社を批判