電子自治体推進を支援する情報誌「 新風」

【トレンドビュー】

タイトル

 自治体セキュリティ支援室では、平成21年度における国や地方公共団体等公的機関の「情報セキュリティ事件・事故」の分析結果をまとめた。これを、各地方公共団体における情報セキュリティ対策検討、あるいは研修・教育における参考資料としていただければ幸いである。なお、本分析結果は公表されている情報等を独自に収集したものであり、すべての事件・事故を網羅したものではないことにご注意いただきたい。

発生件数は依然増加

 自治体セキュリティ支援室は平成19年度に発足し、地方公共団体や国、公益法人等の公的機関を対象として情報セキュリティの事件・事故に関する情報を収集してきました。調査開始以来その件数は年々増加しています。

 平成21年度の情報セキュリティ事件・事故の情報収集件数は、466件となりました。月次で見ると前年同月比で減少した月があるものの、総数では20年度実績(386件)を上回っています。また、事件・事故発生団体の内訳を見ると、図1のようになります。

 さらに、図2の事件・事故種別の内訳を見ると、前年同様に「情報漏えい関連(主に個人情報漏えい)」が多く発生しており、全体の84%を占めています。以下に、「不正アクセス・ウイルス関連」が7%(34件)、「IT障害」が3%(15件)と続いています。
 この数字だけを見ると、〈情報セキュリティ=情報漏えいを防げばほとんどの事案対処が可能〉と短絡的に考えてしまいがちです。しかし件数が少ないとはいえ、「不正アクセス・ウイルス関連」の事案は一度発生すれば、情報漏えいやWebサイトの閲覧者へのウイルス感染などを引き起こし、住民サービスの停止や遅延につながります。また、当該団体のイメージ、信頼を著しく毀損するにとどまらず、十把一絡げに地方公共団体全体のイメージ、信頼の毀損という事態にも陥りかねません。だからこそ、まずは基本対策を徹底するとともに、万一事件が発生してしまっても迅速な事後対処をとることが肝要です。

なぜ、情報漏えいが起きるのか

 では、「情報漏えい関連」の事件・事故が多い原因はどこにあるのでしょうか。

 図3は平成21年度の情報漏えい事件・事故の原因をまとめたもので、また図4は原因別に年度比較を試みたものです。
 図4を見ると、この3年間で大幅に減少した原因がある一方で、依然として横ばいまたは増加傾向にあるものもあります。増加傾向にある原因のうち、特に顕著なのが「盗難」「誤送信」によるもので、各前年度比でそれぞれ1.4倍、1.8倍と増加していることが分かります。

 具体的な事案を見ると、「盗難」では置き引きや車上狙い、ひったくり等の犯罪で、バック等に金品とともに入れてあった情報も盗まれるというケースが多く発生しています。
 また、「誤送信」では、メールマガジンや災害情報など多数の相手先へメールを一斉送信する際に、「BCC」で送るべきところを「TO」「CC」で送ってしまったというケース(26件)のほか、郵送時の宛先間違いや封入時のミス(38件)も多く見られます。
「誤送信」のようなヒューマンエラーに起因する事案は、なかなか発生件数を減らしにくいものです。特に、メールマガジンや災害情報等の連絡メール配信などで、「BCCで送るべきところを、TOで送信してしまった」「操作上のミスによって誤った情報を誤送信してしまった」といった“うっかりミス”を防ぐには、BCC送信の徹底といった作業上の注意を啓発するほか、「メーリングリスト機能の活用」「業務や操作をテンプレート化する」など根本的に間違いが起きにくい(起こらない)仕組みを講じることも重要です。
 こうしたミスを未然に防ぐ・制御する仕組みは、民間企業でも業種・業態を問わず、さまざまな試みがなされています。例えば、大きな刃を持つ工作機械の場合、作業中にうっかり刃に触れて手が切断されないよう、あえて刃から離れた場所にあるボタンを両手で押さなければ動かない仕組みとなっています。地方公共団体の情報漏えいについても、各団体において「間違いを起こし得ない、起こしにくい仕組み」とは何かを考え、適切な方法を工夫すべきと考えます。

データ廃棄まで徹底管理を

 今春、地方公共団体の業務を受託していた事業者において、業務で使用していた約20万件の個人情報等が含まれたポータブルハードディスクを紛失していたことが判明しました。本件は、紛失したハードディスクに当該団体のほか、当該事業者とは委託契約を締結していない地方公共団体に関する個人情報等が保存(委託契約終了後もデータを消去せずに保持)されていたことから、極めて根の深い問題といえます。
 外部委託先からの情報漏えいは決して他人事の話ではなく、改めて地方公共団体のデータ管理の在り方が問われています。根絶に向けた施策の検討が急がれます。
 このような事件・事故を防ぐには、管理徹底のため実効性のある契約書類を作成するとともに、契約後における遵守事項の履行状況確認(個人情報等を渡した場合、その消去〈廃棄〉を実施したかの確認等)が必要です。その場合、総務省の『「地方公共団体における業務の外部委託事業者に対する個人情報の管理に関する検討」報告書』(平成21年3月)が参考になります。本報告書では、委託契約における「個人情報の取扱いに関する特記仕様書」やその解説、遵守確認のためのチェックシート等の雛形が提供されていますので、ぜひ参照してください。
 また、「書類紛失」「USBメモリの紛失」「PC・FD等紛失」に関しては、発生件数の伸びはやや鈍化しましたが、未だ情報紛失原因の4割を占めている状況で、なお一層の注意が必要です(なお、紛失ではなく、盗難ではないかと推察される事案も一部ありました)。
 例えば、「USBメモリ紛失」では、「USBメモリを机上に置いておいたところ、次に使おうと思った時になくなっていた」というような事案が多く見られました。この対策としては、USBメモリに限らず、管理すべき情報資産を適切な場所に保管することであり、もしも放置されている情報資産があれば、職員同士が互いにきちんと管理するよう声を掛け合うといった普段からの心がけが重要です。情報セキュリティ内部監査等を通じて意識啓発し、根絶へ向けた取り組みをぜひ検討してください。
 ほかの原因では、「Winny等による情報流失」は大幅に減少しました。これは、社会的にも危険性の認知が広まったことに加え、ファイル共有ソフト「Share」の利用者のなかから著作権法違反による逮捕者が出たことなど外的要因の影響、あるいは各団体の情報セキュリティ担当者が注意喚起した成果と推察されます。

猛威振るうガンブラーへ備えよ

「不正アクセス・ウイルス関連」の発生件数は、34件(前年度21件)と増加しました。
 特に、昨年末から今年始めにかけては、Webサイトにアクセスしただけでウイルス感染を引き起こす、いわゆる「ガンブラー(Gumblar)」が猛威を振るい、規模や有名無名を問わず企業サイトが改ざんされ、Webサイトの閲覧者がウイルス感染被害に遭いました。一部の自治体や関連団体のサイトもコンテンツを改ざんされるなどの被害を受け、悪意のあるコード(ウイルスに感染するサイトへ勝手に接続されてしまうコード等)を埋め込まれる事例が発生しています。図5に、その改ざん手口の概要を紹介します。

 まず攻撃者は、Webサーバへコンテンツをアップロードする運用管理担当者のパソコンに、別のどこかのWebサイト経由でウイルスを感染させます。このウイルスにより、コンテンツをアップロードする時に使うFTP通信を盗聴したり、パソコン内のソフトウェアに記憶されているID・パスワードを盗み取ります。さらに、盗んだID・パスワードを使って、正規の方法(FTP)でWebサーバにアクセスしてウイルス感染を引き起こす悪いコードを埋め込みます。
 こうして改ざんされたサイトを閲覧した利用者は、先のWebサーバの運用管理担当者と同様に、パソコン内部にある情報が攻撃者に筒抜け状態となります。そして、再び盗んだID・パスワードを別のWebサイト改ざんのために悪用する、ということを繰り返していきます。
 なお、感染するウイルスは、一般に「エクスプロイト攻撃」を仕掛けてきます。これは、「ソフトウェアの脆弱性を狙った攻撃」のことです。
 このような攻撃により、Webサイトが改ざんされ、かつパソコンにあるソフトウェア(AdobeReaderやJavaなど)に脆弱性がある状態でアクセスした場合、「偽セキュリティツール」(図5写真)を勝手にインストールされ、以後、パソコンの操作ができなくなるといった事例も、地方公共団体の一部で発生しています。
 普段利用しているWebサイトであってもウイルス感染を引き起こす危険性があり、外見だけでは改ざんされているかどうか分からないため、最早、これまでの「怪しいWebサイトに行かない」「怪しいメールに張られたリンク先をクリックしない」といった常識だけでは通用しません。
 これらウイルスに対抗するには、OSやアプリケーションの脆弱性パッチを早期に適用し、ウイルス対策ソフトの定義ファイルを最新状態に保つことが基本対策となります。
 Webサイトは、地方公共団体にとって住民サービスの“窓口”であるだけに、ガンブラー感染に備えるとともに、それ以外の不正アクセス等の動向にも十分注意することが必要でしょう。

継続は力なり

 最後に、平成21年度の事件・事故の分析結果を総括すると、「情報漏えい事案は未だ多数発生しているものの、その原因を紐解くと、増えているものもあれば、一部明らかに改善したと思われるものもあった」ということになります。そして、当然のことかもしれませんが、「注意啓発や対策の実施等により情報漏えい事案の軽減・撲滅ができ、今後も継続的に実施していく必要がある」ということが示されているのではないかと考えています。
 しかしながら、ここに例示したような事件・事故以外にも、IT環境の変化や社会変化等により新たな脅威が発生することも想定されます。そのような変化を捉える意味でも、地方公共団体の職員は、自治体セキュリティ支援室が発行する自治体セキュリティニュース、メールマガジンをぜひ活用していただきたいと思います。その上で、ニュース等を通じて、いま発生している情報セキュリティ事件・事故を検証し、自らの団体に当てはめて予防策や被害にあった場合の対処法などを考える機会としてください。
 情報セキュリティ事件・事故は、いつか必ず起きるもの──それを防ぐために予防へ努めるとともに、発生してしまった時の迅速な対処を検討しておくことがいま、求められています。


〈ご参考〉

●「地方公共団体における業務の外部委託事業者に対する個人情報の管理に関する検討」報告書

http://www.soumu.go.jp/menu_news/s-news/02gyosei07_000006.html