日本年金機構のデータ漏洩の件が相変わらず炎上しております。続報によれば、ファイル共用サーバーに、年金加入者の個人情報をぶち込んで、外のネットワークに繋がっているマシンで作業していたとか、データを移すのに CD-Romに保存して暗号化やらマスキングはしてなかったとか、どうもこの組織はメールに添付されたウイルス入り添付ファイルをスキャンするソリューションを入れてなかったとか、格納した個人情報はパスワードで保護してなかったとか、ルール無視して運用するのが当たり前だったそうであります。

［続報］日本年金機構、ファイル共有サーバーを5年以上前から運用

一般に基幹システムのデータを現場が簡単に編集する目的で、エクセルやCSVで現場向けデータを作成・提供することは決して珍しくない。ただ、パスワードの設定を職員任せにしてチェックが行き届かない運用であったことと、ネットがつながるパソコンで個人情報のサーバーにもアクセスできるネットワーク設計だったことが重なり、今回の流出を招いた。

「決して珍しくない」じゃなくて、それやっちゃダメだだろう、で、「パスワードの設定を職員任せにしてチェックが行き届かない運用であったことと、ネットがつながるパソコンで個人情報のサーバーにもアクセスできるネットワーク設計だったことが重なり、今回の流出を招いた。」じゃなくて、運用設計がそもそもおかしくて、チェックプロセスに穴があるのが問題、ですね。この記事も突っ込み放題ですが、とりあえず、この件は、ガバナンス、セキュリティ、運用、コンプライアンス、リスク管理、危機管理広報、外注管理、エンドユーザートレーニングの、素晴らしい教材になるなという感じであります。

さて、こういうのは、タイトなセキュリティを要求される政府系組織、金融、小売などでは許されないわけですが、しかしながら、なぜこういうことが起こってしまうのかということを考えてみましょう。

まず、初めの問題は、運用プロセスに抜けがある、という点です。人の入れ替わりが少ない組織、たとえばこういう公共団体や古い企業だと、担当者個人の頭の中の知識や、気使いに頼ってシステムを動かしています。いわゆる「運用でカバー」というパターンです。

そういう組織ではプロセスの明文化を軽視するので、監査時にテストしたプロセスが全く守られていなかったり、細かい部分は担当者以外にわからないようになっています。日本の組織は人がいれ変わらなかったり、様々な国の人が働いてなかったりするので、「運用でカバー」のところがかなりあります。北米やイギリスだと人の入れ替わりが激しいので、基本的に「運用でカバー」を極力避けるようにします。

第二に、プロセスをルール通りに履行するための投資が足りていない、という点です。手作業を極力減らすためのシステム導入、組織全体でのプロセスの共有と透明化、トレーニング、第三者による定期的なチェック、品質保証の部署を置く、に投資すべきですが、システム予算が削減されている組織だと、なかなか難しいものがあります。

承認をもらうのに４日かかる、紙で申請しなければならない、インシデントが発生した場合の緊急対応ができない、という障害があると、現場はプロセスを無視して、独自ルールを作り上げてその場しのぎで対応してしまう、ということが良くあります。

ワタクシの本業は、そのようなプロセスを設計したり、運用状況を監査したりということでありますが、あくまでざっとした印象ですけれども、北米や欧州系の組織は、こういう投資に割とポンとお金を出してくれます。インシデントが発生すると、管理職や幹部の首が飛びますし、部署ごと売却、なんてことがカジュアルに行われます。また、現場を長時間働かせたり、休暇を取れない状況で酷使すると、管理職の業務評価が下がります。

そういうリスクがあるので、上と粘って、ソリューションを入れたり、プロセス改善活動をする、品質保証部署の設立に協力する、というインセンティブが働きます。リスク回避の対策をとったかどうか、トレーニングをやったかどうか、そういったことにも、グローバルでチェックが入ります。

しかしながら、日本の組織の場合は、大規模インシデントでCIOが３週間後に首という大胆なことはあまりやらず、何かことがあっても、なあなあですませます。部下に休暇をとらせず、サビ残させる上長の方が評価されるので、ソリューションを入れるインセンティブが働きません。人件費が正社員の半分以下の常駐外注に手作業で作業をやらせた方が、コストが下がりますので、担当の評価が高くなります。トレーニングのコストも極力削り、現場にサビ残させて、OJTで情報伝達します。リスクを想定しないで、その場限りのコスト削減すればするほど評価が高くなります。

つまり、「運用でカバー」は、組織論の問題であるわけです。

「運用でカバー」は日本の様々な組織のガンです。バケツでウラン撹拌、水が漏れるタンク、汚染水逆流してました、外注が某宗教団体のやってるベンダでした、どれも、「運用でカバー」を現場に押し付けて、リスク回避のためのコストを削った結果です。

これは、文化的問題なので、改善されることはないと思いますが、とりあえず言いたいことは、サーバーから青い炎が湧くことはないのでなんとか頑張りましょう、です。