スポンサーリンク
5月末からニュースをにぎわしたのが、富士通製ソフトウェアの情報漏洩だ。厚生労働省のコロナアプリの問題やらLINEのサーバ問題やらと、今年もネタが尽きない。
IT業界に関するニュースのまとめはこちら。
主に官公庁に導入されたProjectWEBというソフトウェア。用途はプロジェクト情報を共有するためのものだそうだ。
このソフトを使う成田空港の運行管理情報が盗まれた、と5月末にニュースになった。
これを受けて調査をした国土交通省の発表についてのニュースを引用する。
この問題で国土交通省は26日
▽省の職員や業務でやり取りのある関係者少なくとも7万6000件のメールアドレスや
▽省内のメールシステムやインターネットの設定に関する情報などが流出したことを確認したと明らかにしました。また、内閣官房の内閣サイバーセキュリティセンターでも、このソフトへの不正アクセスで、センター内の情報システムがどういった機器で構成されているかを示すデータなどが流出したことが確認されたということです。
なかなかとんでもない情報量の流出があったようだ。
メールアドレスは今後のフィッシングに使われるとして、流出した情報に国家機密があったらどういうことになるだろう。例えば原発の設計図、例えばサイバーセキュリティ担当の個人情報。そういう情報の有無はわからないが、あればシャレにならない事態になりかねない。
国家機密とはそういうレベルのものだ。
富士通はさっそくソフトウェアの運用を停止して影響範囲を調査したそうだ。
このソフトウェア、外部からアクセス可能と上記のニュースに書かれている。
官公庁という発注元と富士通という受注者の間でプロジェクトの進捗状況を共有するためのものなのだそうだ。
確かに、こういう情報共有の場がないと、メールに添付して送りあうことになり、どれが最新なのかわからなくなる。
そういう点でこの手のソフトウェアを使うことはまっとうなことだ。
少ない情報から想像する問題点は2つだろうか。
官公庁と富士通を専用線で接続しその拠点以外はアクセスできない仕組みになっていれば、おそらく情報漏洩の可能性は低かったと思う。(この場合で可能性があるとしたら、すでに感染しているPCでアクセスするようなケースだろう)
しかし昨年からのコロナウィルスのための在宅勤務の推進で、専用線以外のインターネット接続の自宅などからもこのソフトウェアに接続して利用することがあったのではないだろうか。もしあればそのためにあけたインターネットと接続する穴がセキュリティホールとなって情報漏洩のかになったのかもしれない。
この場合、担当者には気の毒だが、在宅勤務不可で出社して仕事をしてもらうしかない。実際、セキュリティ要件が厳しい企業の仕事では出社対応しか許されないという話を本業でも聞いている。それをやらなかったことで国家機密が漏洩したとしたら、委託元も委託先も事の重要性の認識が足りなかったという事になる。
無制限にアクセスできるように設定されているシステムはいずれパスワードなどを破られて情報を盗まれる。こうならないためにアクセスできる人を限定する、アクセスできても特定の操作はできない、あるいは特定のデータにはアクセスできないと、通常はアクセスするユーザに応じて階層構想の権限を付与する。例えば一般ユーザは読めるだけ、ある程度のユーザはデータの入力ができ、特権ユーザは編集ができる、という具合だ。
これをさらに進めて、上記の機能を組み合わせて、アクセスするユーザごとにアクセス元のIPアドレスを限定すると不特定多数の場所からの侵入を防ぐことができる。ファイアウォールだけに頼らず、システム単位でこういうアクセス制限を行って、たどり着ける情報を限定し侵入者が容易にアクセスできない、あるいはアクセスするには時間がかかりすぎてあきらめるような雰囲気を出すことが重要だ。
アクセスする人がいればアクセス経路があって、そこを突いて侵入される可能性がある。情報漏洩に至る。
これを防ぐためにはシステムを完全にインターネットから隔離して孤立させるしかない。しかしそうすれば上記のように在宅勤務では利用できない。多様な働き方を制限するしか機密を守ることはできそうにない。利便性と機密保持という背反する要素をバランスよく提供することは難しそうだ。まだまだこの手の情報漏洩はイタチごっこのように続くのだろう。
PR