政府機関としては史上最悪退役軍人省からの情報漏洩(2)セキュリティの甘さが甚大な被害を招く

●指摘されてきたセキュリティ体制の弱さ

2001年以来、退役軍人省の監察総監は繰り返し、個人情報の取扱い方に関する、同省のセキュリティの脆弱性について警告してきた。今回は政府機関所有のラップトップが簡単に持ち出すことができるという、単純な問題だ。基本的なセキュリティが不十分だったと見られても仕方がない。

　2003年には監察総監のテストで、ハッカーがネットワーク外から保護されているはずの医療情報にアクセスしている。2005年にはアクセスコントロールが徹底されているか調査を行ったところ、10数ヵ所のデータセンター、医療センターなどで一貫して適用されていなかった。監察総監は、アクセスコントロールについての査察で、経歴チェックの徹底、職員にセキュリティ認識のためのトレーニング、重要情報への職員のアクセス制限などを行うよう勧告した。しかし昨年11月には、これまでの監査で指摘した事項が改善されていないと査察次官が報告しているように、セキュリティ強化をするための指摘が対処されていなかった。

査察では、政府方針にしたがって強力な探知警告システム、アクセスコントロールが必要だとする。事件後、ニコルソン長官は、「（退役軍人省ではセキュリティ）方針と管理システムを有し、それが機能している」と話しているが、それならなぜ権限のない職員が大量のデータを持ち帰ることができたのか。被害を受けた元軍人をはじめ、市民からも疑問の声が上がっている。

さらに捜査が進むにつれて、ショッキングな事実が明らかになってきた。監察総監が事件を知ったのは、正式な報告としてではなかったという。つまり、セキュリティを脅かすような事件があったときの、しっかりした報告システムがなかったということだ。ニコルソン長官への報告も16日まで行われていなかった。

今回の事件で、セキュリティ強化にはスタッフからということで、省のデータにアクセス権を持つ全職員が、6月30日までにサイバーセキュリティ・トレーニングコースを取る予定だ。また、職員の経歴チェックを強化する。データを自宅に持ち帰っていた職員については、最後に経歴チェックを行ったのは32年前だったらしい。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm