写真●日本年金機構が公表した「業務改善計画」
[画像のクリックで拡大表示]

 日本年金機構は2015年12月9日、年金情報流出事案を受けた「業務改善計画」を監督官庁である厚生労働省に提出したと発表した(写真)。情報セキュリティ強化など3点で改善計画を整理、事態の再発防止に向けて「この計画を粛々と進めていく」(情報管理対策室)とした。

 改善計画に2016年4月からの3年間で集中的に取り組む。17ページにわたる改善計画の3本柱は、「組織の一体化・内部統制の有効性の確保」と「情報開示の抜本的な見直し」、そして「情報セキュリティ対策の強化」である。

 情報系システムが標的型攻撃に遭い、基幹系システムから情報系システムにコピーした年金情報を攻撃者に奪われた経緯から、「情報セキュリティ対策の強化」は喫緊の課題である。機構は組織面と技術面、業務運営面を強化すると打ち出し、すでに取り組みを始めている。

 組織面では「実効性のあるセキュリティ対策を実現する体制を構築する」とした。10月1日に理事長を本部長に、CISO(最高情報セキュリティ責任者)である副理事長を副本部長に据えた「情報管理対策本部」を設置し、本部の実行部隊も整えた。

 さらにインシデント(セキュリティ上の事故)に対応する専門組織の「機構CSIRT」を設置。「セキュリティの有資格者を含む4人が配属され、関係部署の20人も支援要員として登録している」(情報管理対策室)。セキュリティ企業など外部の専門家も必要との認識だが、予算の都合上、2016年4月以降に契約する見通しだ。

インターネットと完全分離

 技術面の強化はインターネットからの分離を打ち出した。対象は、グループウエアやファイルサーバーなどを通して機構内の情報共有に使う情報系システム「機構LANシステム」。従来はインターネットを使えたが、インターネットから切り離す。攻撃者によるマルウエア(悪意のあるソフトウエア)が侵入した経緯を踏まえていると思われる。攻撃時には脆弱性の残ったままのPCやサーバーがあり、監視も行き届いていなかったため、今後は最新のセキュリティパッチを充て、重要機器も監視するとした。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら