敵に手の内をさらして大丈夫？ NISCの年金機構事件報告書を読み解く

　「本文書には、NISCの対処能力を推知しうる情報が含まれるが、今般発生した事案の重大性に鑑み、可能な限り実態解明のための情報開示を行い、説明責任を果たす観点から取りまとめたものである」

　政府のサイバーセキュリティ戦略本部が2015年8月20日に決定した「日本年金機構における個人情報流出事案に関する原因究明調査結果」という文書（以下「NISC報告書」と表記、関連記事）の最初のページに、こうした一文がある。2015年6月1日に明るみに出た日本年金機構の年金情報流出事件（関連記事）について、国のサイバーセキュリティ対策の司令塔に当たるNISC（内閣サイバーセキュリティセンター）の調査結果をまとめたものである。

写真1●日本年金機構における情報流出問題に関する3つの調査報告書

[画像のクリックで拡大表示]

写真2●日本年金機構は対応すべき項目に関する実施状況を検証

（出典：日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告」）

[画像のクリックで拡大表示]

　この事件に関しては、8月20日から21日にかけて、年金機構内部に設置した調査委員会、厚生労働省が設置した検証委員会、そしてNISC報告書が出ている（写真1、関連記事：「年金機構の態度は論外」、年金情報流出問題に3つの調査報告書が出そろう）。

　3つの報告書はそれぞれの視点でまとめられており、標的型サイバー攻撃に対処するうえでの多くの教訓を含んでいる。エンドユーザーにも読みやすいように工夫して書かれている。

　例えば年金機構の報告書は、「対応すべき項目」を明示したうえで、「対応できたこと」「対応が不十分又はできなかったこと」を分かりやすく検証している（写真2）。セキュリティや情報システムの専門家だけではなく、企業・組織の情報システムに接するすべての人にとって、参考になりそうだ。