写真●日本年金機構が公表した「業務改善計画」
写真●日本年金機構が公表した「業務改善計画」
[画像のクリックで拡大表示]

 日本年金機構は2015年12月9日、年金情報流出事案を受けた「業務改善計画」を監督官庁である厚生労働省に提出したと発表した(写真)。情報セキュリティ強化など3点で改善計画を整理、事態の再発防止に向けて「この計画を粛々と進めていく」(情報管理対策室)とした。

 改善計画に2016年4月からの3年間で集中的に取り組む。17ページにわたる改善計画の3本柱は、「組織の一体化・内部統制の有効性の確保」と「情報開示の抜本的な見直し」、そして「情報セキュリティ対策の強化」である。

 情報系システムが標的型攻撃に遭い、基幹系システムから情報系システムにコピーした年金情報を攻撃者に奪われた経緯から、「情報セキュリティ対策の強化」は喫緊の課題である。機構は組織面と技術面、業務運営面を強化すると打ち出し、すでに取り組みを始めている。

 組織面では「実効性のあるセキュリティ対策を実現する体制を構築する」とした。10月1日に理事長を本部長に、CISO(最高情報セキュリティ責任者)である副理事長を副本部長に据えた「情報管理対策本部」を設置し、本部の実行部隊も整えた。

 さらにインシデント(セキュリティ上の事故)に対応する専門組織の「機構CSIRT」を設置。「セキュリティの有資格者を含む4人が配属され、関係部署の20人も支援要員として登録している」(情報管理対策室)。セキュリティ企業など外部の専門家も必要との認識だが、予算の都合上、2016年4月以降に契約する見通しだ。

インターネットと完全分離

 技術面の強化はインターネットからの分離を打ち出した。対象は、グループウエアやファイルサーバーなどを通して機構内の情報共有に使う情報系システム「機構LANシステム」。従来はインターネットを使えたが、インターネットから切り離す。攻撃者によるマルウエア(悪意のあるソフトウエア)が侵入した経緯を踏まえていると思われる。攻撃時には脆弱性の残ったままのPCやサーバーがあり、監視も行き届いていなかったため、今後は最新のセキュリティパッチを充て、重要機器も監視するとした。