年金情報125万件流出事件　ITセキュリティを軽視する“情弱”組織は大丈夫か

　対応策もまずい。ウイルスが検出されているのにウイルス対策ソフトをアップデートしただけで事態をスルーしたのはいただけない。まぁ、これはセキュリティ会社の判断ミスだったので仕方がないかもしれない。しかし、その後18日にほかの職員にもウイルスメールが届き始めた段階で、情報が漏えいしたことには気が付くべきだった。29日にネットを遮断するまで、丸々10日間は脅威にさらされ続けたのだ。さらに、所轄である厚生労働省の担当係長が8日と19日に内閣サイバーセキュリティセンターや年金機構から連絡を受けた際も、上司には報告していないという硬直ぶり。

　とはいえ、元凶は現場でやらかしてしまった人たちではない。組織の上層部にあるのだ。日本の企業・組織は、なぜかITセキュリティを軽視する傾向にある。確かに、お金のかかることではあるのだが、ITを活用するのなら避けては通れないところなのだ。今回だってエンタープライズ向けのファイアウォールソリューションを導入していれば、こんなことにはならなかった。そもそも、想定外の外部向け通信が遮断されるからだ。しかし、ITセキュリティ製品は利便性が直接向上したり、売り上げが上がるわけではないので、上層部はいい顔をしない。当然、部下もそんな提言をしなくなる。そのスパイラルで、古くからある日本の企業・組織のシステムは非常に脆弱。想像を絶するレベルで、穴だらけなのだ。ここを直さない限り、どんなに「怪しい添付ファイルは開かないようにしましょう」と告知しても被害は減らないだろう。

　気になる今回の犯人だが、捕まる可能性は低い。そもそも、ウイルスメールの書式には中国語が使われていたようで、もう真相は闇の中だろう。重要なのは、今後同じような被害を出さないために、重要情報を扱う組織のITリテラシーを向上させること。日本の組織には、もう少しITセキュリティの重要性を認識していただきたいところだ。
（文＝柳谷智宣）