平 成 28 年 4 月 28 日 サイバーセキュリティ 戦 略 本 部 長 菅 義 偉 殿 厚 生 労 働 大 臣 塩 崎 恭 久 平 成 27 年 9 月 11 日 になされた 勧 告 の 履 行 状 況 について 別 紙 のとおり 報 告 する
別 紙 報 告 平 成 27 年 5 月 の 日 本 年 金 機 構 ( 以 下 機 構 という )における 情 報 流 出 事 案 は まれ にみる 組 織 的 かつ 執 拗 な( 標 的 型 ) 攻 撃 ( 日 本 年 金 機 構 における 不 正 アクセスによる 情 報 流 出 事 案 検 証 委 員 会 ( 以 下 検 証 委 員 会 という ) 検 証 報 告 書 )が 原 因 であるとはいえ これに 対 する 構 えは 機 構 のみならず 厚 生 労 働 省 ( 以 下 厚 労 省 という )においても 極 めて 脆 弱 であった 国 民 の 共 同 連 帯 の 理 念 に 基 づき 国 民 の 信 頼 を 基 礎 として 実 施 されるべ き 政 府 管 掌 年 金 事 業 において 約 125 万 件 もの 個 人 情 報 が 流 出 したことは 国 民 の 年 金 制 度 に 対 する 信 頼 を 損 なうものであり 極 めて 遺 憾 である 本 事 案 については 平 成 27 年 8 月 20 日 に 機 構 が 調 査 結 果 報 告 を サイバーセキュリテ ィ 戦 略 本 部 ( 以 下 戦 略 本 部 という )が 原 因 究 明 調 査 結 果 を また 同 年 8 月 21 日 に 検 証 委 員 会 が 検 証 報 告 書 をそれぞれ 公 表 した その 後 さらに 政 府 全 体 のサイバーセキュ リティ 体 制 の 抜 本 強 化 を 図 るサイバーセキュリティ 戦 略 が 同 年 9 月 4 日 に 閣 議 決 定 され また 同 年 9 月 11 日 に 戦 略 本 部 の 本 部 長 である 官 房 長 官 から 厚 生 労 働 大 臣 に 対 して 戦 略 本 部 の 原 因 究 明 調 査 結 果 等 を 踏 まえた 勧 告 がなされた これらの 報 告 書 等 においては 本 事 案 の 根 本 原 因 として 1 厚 労 省 機 構 ともに 標 的 型 攻 撃 の 危 険 性 に 対 する 意 識 が 極 め て 不 足 しており 事 前 の 人 的 体 制 と 技 術 的 な 対 応 も 全 く 不 十 分 であったこと 2インシデ ント 発 生 後 においては 現 場 と 幹 部 の 間 関 連 する 組 織 間 に 情 報 や 危 機 感 の 共 有 がなく 組 織 が 一 体 として 危 機 を 克 服 する 万 全 の 体 制 になっておらず その 結 果 数 少 ない 組 織 内 の 専 門 知 識 を 持 つ 者 の 動 員 すらできず 担 当 者 が 幹 部 の 明 確 な 指 揮 を 受 けることもないま まに 場 当 たり 的 な 対 応 に 終 始 し 迅 速 かつ 的 確 な 対 処 ができなかったことが 指 摘 されて いる 厚 労 省 は これらの 報 告 書 等 の 指 摘 や 戦 略 本 部 長 の 勧 告 を 踏 まえ 厚 労 省 としての 再 発 防 止 策 を 取 りまとめ 平 成 27 年 9 月 18 日 に 情 報 セキュリティ 強 化 等 に 向 けた 組 織 業 務 改 革 - 日 本 年 金 機 構 への 不 正 アクセスによる 情 報 流 出 事 案 を 踏 まえて- ( 別 添 1)を 公 表 した また この 再 発 防 止 策 を 迅 速 かつ 確 実 に 実 施 するため 同 年 10 月 1 日 付 けで 厚 生 労 働 大 臣 を 本 部 長 とし 政 務 二 役 事 務 次 官 厚 生 労 働 審 議 官 及 び 全 局 長 から 成 る 情 報 セキュリティ 強 化 等 に 向 けた 組 織 業 務 改 革 推 進 本 部 を 設 置 した 一 方 機 構 は 平 成 27 年 8 月 20 日 の 調 査 報 告 書 及 び 同 年 9 月 25 日 に 厚 生 労 働 大 臣 から 日 本 年 金 機 構 理 事 長 に 対 して 出 された 業 務 改 善 命 令 等 を 踏 まえ 同 年 10 月 1 日 に 理 事 長 を 本 部 長 として 機 構 内 に 設 置 した 日 本 年 金 機 構 再 生 本 部 及 び 情 報 管 理 対 策 本 部 にお 1
いて 情 報 セキュリティ 対 策 の 強 化 を 含 む 業 務 改 善 計 画 を 取 りまとめ 同 年 12 月 9 日 に 日 本 年 金 機 構 業 務 改 善 計 画 ( 別 添 2)を 公 表 した 厚 労 省 及 び 機 構 においては 別 添 1 及 び 別 添 2を 踏 まえ 組 織 的 人 的 業 務 運 営 技 術 的 対 策 それぞれの 観 点 から 情 報 セキュリティ 対 策 強 化 に 向 けた 取 組 を 進 めるととも に 厚 労 省 による 機 構 その 他 厚 労 省 が 所 管 する 独 立 行 政 法 人 特 殊 法 人 等 ( 以 下 所 管 法 人 等 という )に 対 する 指 導 監 督 の 強 化 に 取 り 組 んできたところである これらの 取 組 状 況 について 厚 労 省 及 び 機 構 は 勧 告 の 項 目 に 沿 って 整 理 を 行 うとともに 勧 告 の 実 施 に より 得 られた 成 果 に 係 る 評 価 を 実 施 した これを 基 に 厚 労 省 は 勧 告 の 履 行 状 況 につい て 下 記 のとおり 取 りまとめたので 報 告 する 厚 労 省 及 び 機 構 においては 勧 告 等 を 踏 まえつつ 引 き 続 き 本 事 案 を 踏 まえた 再 発 防 止 策 に 全 力 を 挙 げて 取 り 組 んでまいる 所 存 である 記 1 体 制 整 備 (1) 厚 労 省 における 取 組 1 組 織 人 的 体 制 の 強 化 厚 労 省 における 情 報 セキュリティ 対 策 に 関 する 業 務 は 省 内 の 情 報 政 策 の 企 画 立 案 連 絡 調 整 等 を 担 当 する 部 署 である 政 策 統 括 官 付 情 報 政 策 担 当 参 事 官 室 ( 以 下 情 参 室 という )の 情 報 セキュリティ 対 策 係 が 担 当 し 室 長 補 佐 以 下 4 人 の 人 員 体 制 で 厚 生 労 働 省 情 報 セキュリティポリシー 等 のルール 整 備 情 報 セキュリティに 関 する 教 育 訓 練 インシデント 発 生 時 等 におけるNISCや 省 内 担 当 部 局 との 連 絡 調 整 等 の 業 務 を 行 っ てきた しかしながら 情 報 セキュリティ 対 策 係 は インシデント 対 応 以 外 の 業 務 も 兼 務 しているため 業 務 内 容 や 業 務 量 の 多 さに 比 べれば 職 員 数 が 十 分 ではない また 情 報 セキュリティの 専 門 的 知 識 を 有 する 職 員 が 常 勤 で 配 置 されておらず 非 常 勤 であ る CIO 補 佐 官 に 最 高 情 報 セキュリティアドバイザー(インシデントアドバイザー) として インシデント 発 生 時 の 対 応 も 含 め 情 報 セキュリティ 対 策 全 般 に 係 る 技 術 的 助 言 を 依 頼 してきたが CIO 補 佐 官 はインシデント 対 応 以 外 にも 大 規 模 情 報 システム の 刷 新 業 務 等 に 関 する 支 援 業 務 など 多 くの 業 務 を 抱 えていたため 今 回 の 機 構 におけ る 情 報 流 出 事 案 ( 以 下 情 報 流 出 事 案 という )では 情 参 室 の 担 当 者 等 と 迅 速 に 報 告 や 相 談 を 行 うなど 緊 密 な 連 携 ができなかった このように 情 報 セキュリティ 対 策 を 推 進 するための 人 的 体 制 は 全 く 不 十 分 であった このため まずは 人 的 な 体 制 強 化 を 図 るため 情 参 室 の 情 報 セキュリティ 対 策 係 を 2
拡 充 し 平 成 27 年 10 月 1 日 に 室 長 以 下 8 人 の 職 員 から 成 る 政 策 統 括 官 付 情 報 セ キュリティ 対 策 室 を 新 たに 設 置 した これにより 情 報 セキュリティポリシー 等 の ルール 整 備 とそれに 基 づく 教 育 情 報 セキュリティ 対 策 のPDCA( 対 策 推 進 計 画 自 己 点 検 監 査 ) 等 を 担 当 する 企 画 係 と インシデント 発 生 時 の NISC 等 との 連 絡 調 整 や 担 当 部 局 への 技 術 的 支 援 対 処 指 示 等 を 担 当 する 対 策 係 の2つのラインで 従 来 の 業 務 を 分 担 することとした また 情 報 政 策 担 当 参 事 官 に 代 わり 情 報 セキュリティ 対 策 室 長 を 最 高 情 報 セキュリティ 責 任 者 (CISO)を 実 務 面 で 補 佐 する 統 括 情 報 セキュリ ティ 責 任 者 とし 情 報 セキュリティポリシーや 対 策 推 進 計 画 を 決 定 する 情 報 セキュ リティ 委 員 会 ( 委 員 長 :CISO)のメンバーとした これらの 実 務 要 員 の 体 制 強 化 と 併 せて 専 門 性 向 上 の 観 点 から 情 報 セキュリティ に 関 する 専 門 的 知 識 及 び 経 験 を 有 する 外 部 人 材 ( 情 報 セキュリティ 対 策 官 )を 公 募 し 平 成 28 年 3 月 1 日 より2 名 同 年 4 月 1 日 より2 名 の 計 4 名 を 情 報 セキュリティ 対 策 室 に 常 勤 職 員 として 採 用 した また このうち1 名 を 統 括 情 報 セキュリティ 対 策 官 として 任 命 し 同 年 4 月 1 日 より CIO 補 佐 官 に 代 わり 最 高 情 報 セキュリティ アドバイザーに 指 名 した これにより インシデント 対 応 も 含 め 情 報 セキュリティ 対 策 に 係 る 専 門 的 な 知 見 に 基 づく 助 言 支 援 が 即 時 に 行 われるための 一 定 の 体 制 整 備 が 図 られた さらに 同 年 4 月 1 日 より 情 報 セキュリティ 対 策 室 において 企 画 係 対 策 係 のラインに 加 えて 監 査 を 専 門 的 に 担 当 するラインの 人 員 が 拡 充 され 室 全 体 で20 人 の 体 制 となった 2 CSIRTの 実 効 性 のある 体 制 強 化 厚 労 省 における 情 報 セキュリティインシデント 対 応 チーム(CSIRT)は インシデン ト 最 高 責 任 者 を 官 房 長 インシデント 統 括 責 任 者 を 情 報 政 策 担 当 参 事 官 インシデン ト 管 理 責 任 者 をインシデント 担 当 部 局 ( 情 報 システムの 管 理 運 用 部 局 )の 総 括 課 長 インシデント 担 当 者 を 当 該 部 局 の 課 室 長 とする 等 責 任 者 のみで 構 成 され インシデ ント 発 生 時 には CSIRT 内 で 情 参 室 と 担 当 部 局 の 責 任 者 の 間 で 報 告 連 絡 が 行 われ るというルールになっていたが 責 任 者 は 必 ずしも 情 報 セキュリティに 関 する 専 門 的 知 見 を 有 しているとは 限 らない 中 で 情 参 室 と 担 当 部 局 との 間 でインシデントへの 対 処 に 係 る 役 割 や 責 任 の 所 在 が 不 明 確 であった 一 方 インシデント 発 生 時 におけるNISC 等 との 連 絡 調 整 や 実 際 の 対 処 に 関 する 業 務 については 情 報 セキュリティ 対 策 係 が 担 当 部 局 の 課 室 の 担 当 者 との 間 で 行 っていたが これらの 実 働 要 員 は CSIRT 要 員 として 選 任 されていなかった そして 情 報 流 出 事 案 では 情 参 室 担 当 部 局 のそれぞれで 担 当 者 から 責 任 者 に 対 する 報 告 が 迅 速 に 行 われなかったため 責 任 者 を 構 成 員 とする CSIRT が 実 質 的 に 機 能 しなかった さらに 非 常 勤 である CIO 補 佐 官 が CSIRT のイン シデントアドバイザーとなっていたが 情 参 室 の 担 当 者 等 と 迅 速 に 報 告 や 相 談 を 行 う など 緊 密 な 連 携 ができなかったことは 前 述 のとおりである 以 上 を 踏 まえ CSIRT について 主 として 即 応 性 と 専 門 性 の 向 上 役 割 や 責 任 の 3
明 確 化 の 観 点 から 実 効 性 のある 体 制 強 化 に 向 け 見 直 しを 行 った 厚 労 省 では CISO CSIRT 責 任 者 を 共 に 大 臣 官 房 長 としていたが 官 房 長 は 厚 労 省 全 体 の 予 算 人 事 業 務 改 革 を 統 括 する 大 臣 官 房 の 長 として 一 定 の 権 限 を 有 しているものの 情 報 セキュリティ 対 策 は 政 策 統 括 官 が 所 掌 する 情 報 政 策 ( 情 報 システム 投 資 )と 一 体 となって 推 進 していく 必 要 があることや 厚 労 省 が 保 有 する 基 幹 システムは 大 臣 官 房 統 計 情 報 部 が 所 管 する 厚 労 省 統 合 ネットワークや 厚 労 省 LAN システム 以 外 にも 年 金 局 ( 機 構 ) 職 業 安 定 局 (ハローワーク) 労 働 基 準 局 ( 監 督 署 )など 担 当 部 局 が 多 岐 にわたることなどから 情 報 セキュリティ 対 策 の 推 進 に 当 たっては 危 機 管 理 という 観 点 からのトップマネジメントによる 予 算 人 員 の 適 切 な 配 分 に 向 けた より 一 層 の 権 限 強 化 が 必 要 である 一 方 で インシデント 発 生 時 特 に 初 動 対 応 においては 情 報 セキュリティ 対 策 に 専 門 的 に 従 事 する 者 が 迅 速 に 対 応 することが 求 められる このため CISO については CIO と 併 せて 官 房 長 から 厚 生 労 働 審 議 官 ( 次 官 級 )へと 変 更 するとともに CSIRT 責 任 者 については 日 常 的 に 情 報 セキュリティや 情 報 政 策 を 担 当 している 情 報 政 策 政 策 評 価 審 議 官 ( 副 CIO)へと 変 更 することとし 平 成 27 年 10 月 1 日 付 けで 厚 生 労 働 省 情 報 セキュリテ ィポリシー 及 びインシデント 対 処 手 順 書 の 改 定 を 行 った CSIRT 内 で 情 参 室 と 担 当 部 局 との 役 割 や 責 任 の 所 在 が 不 明 確 であることにより インシデントへの 迅 速 かつ 的 確 な 対 処 が 損 なわれることがあってはならない この ため これらの 間 の 役 割 分 担 を 明 確 となるよう CSIRT から 担 当 部 局 ( 情 報 システ ムの 管 理 運 用 部 局 )を 切 り 離 し 技 術 的 支 援 対 処 処 置 に 関 する 指 示 勧 告 対 外 的 な 連 絡 調 整 を 行 うのは CSIRT 実 際 にインシデントへの 対 処 復 旧 を 行 うのは 担 当 部 局 として それぞれの 役 割 分 担 を 明 確 にした その 上 で CSIRTについては インシデント 責 任 者 ( 情 報 政 策 政 策 評 価 審 議 官 )の 下 に 統 括 情 報 セキュリティ 責 任 者 ( 情 報 セキュリティ 対 策 室 長 ) 以 下 実 際 にインシデントの 対 処 支 援 や NISC や 担 当 部 局 との 連 絡 調 整 に 関 する 業 務 を 行 う 情 報 セキュリティ 対 策 室 の 職 員 全 員 を CSIRT 要 員 とし それぞれの 役 割 や 権 限 を 明 確 にした また 担 当 部 局 ( 対 処 復 旧 部 局 )については 部 局 情 報 セキュリティ 責 任 者 ( 総 括 課 長 ) 課 室 情 報 セキュリ ティ 責 任 者 ( 各 課 室 長 )のほか 実 際 の 対 処 復 旧 や CSIRT や 所 管 法 人 等 との 連 絡 調 整 に 当 たる 課 室 情 報 セキュリティ 管 理 者 ( 各 課 室 の 庶 務 係 長 等 ) 及 び 情 報 シス テムセキュリティ 責 任 者 をインシデント 対 応 体 制 として 位 置 づけ それぞれの 役 割 や 権 限 を 明 確 にした その 上 で インシデント 発 生 時 には 責 任 者 のみならず 担 当 者 も 含 めた 実 務 的 な 報 告 連 絡 ルートを 明 確 にし 担 当 部 局 の 担 当 課 室 ( 課 室 情 報 セキュリティ 責 任 者 又 はこれを 補 佐 する 課 室 情 報 セキュリティ 管 理 者 )からインシデント 責 任 者 統 括 情 報 セキュリティ 責 任 者 情 報 セキュリティ 対 策 室 員 及 び 最 高 情 報 セキュリティア ドバイザーから 成 るCSIRTに 対 して 必 ず 報 告 すること 逆 に NISC 等 からCSIRT( 情 4
報 セキュリティ 対 策 室 )に 対 してインシデント 発 生 に 関 する 通 報 があった 場 合 には CSIRT から 担 当 部 局 及 び 政 務 3 役 事 務 4 役 はじめ 幹 部 に 対 して 速 やかに 連 絡 報 告 することとした また 担 当 課 室 においては 各 部 局 の 総 括 課 長 部 局 の 局 長 審 議 官 に 対 しては 必 ず 速 やかに 報 告 するとともに 個 人 情 報 の 流 出 の 可 能 性 が 高 い 事 案 であって 国 民 への 影 響 が 大 きい 場 合 等 においては 政 務 3 役 事 務 4 役 はじめ 幹 部 に 対 して 速 やかに 報 告 することとした これらの 見 直 しについては 平 成 27 年 12 月 21 日 付 けで 厚 生 労 働 省 情 報 セキュリティポリシー 及 び 情 報 セキュリティンシ デント 対 処 手 順 書 を 改 定 してルールを 整 備 し その 内 容 を 省 内 全 職 員 に 対 して 周 知 した また 情 報 流 出 事 案 では 担 当 者 から 責 任 者 に 対 して 迅 速 な 報 告 が 行 われず 幹 部 も 含 めて 情 報 共 有 が 適 切 に 行 われていなかったという 反 省 に 立 ち 組 織 内 の 情 報 共 有 等 に 係 る 意 識 改 革 を 図 るため 平 成 27 年 度 業 務 適 正 化 推 進 月 間 ( 平 成 27 年 10 月 19 日 ~11 月 13 日 ) 等 において 職 員 間 の 情 報 共 有 や 職 場 のコミュニケーションの 確 保 の 徹 底 に 関 する 研 修 や 幹 部 職 員 を 対 象 とした 組 織 管 理 に 関 する 研 修 を 実 施 するととも に 今 回 のポリシー 等 の 改 定 を 踏 まえたインシデント 発 生 時 の 速 やかな 報 告 連 絡 体 制 の 構 築 等 について サイバーセキュリティ 月 間 ( 平 成 28 年 2 月 1 日 ~3 月 18 日 ) 中 に 課 室 情 報 セキュリティ 管 理 者 等 を 対 象 とした 研 修 を 実 施 した 3 今 後 の 取 組 上 記 のとおり 情 報 セキュリティ 対 策 強 化 のための 体 制 整 備 については 情 報 セキ ュリティ 対 策 室 の 設 置 や 専 門 的 な 知 識 経 験 を 有 する 外 部 人 材 ( 情 報 セキュリティ 対 策 官 )の 配 置 情 報 セキュリティポリシーの 改 定 等 一 定 程 度 の 成 果 を 上 げたところ である 一 方 で 現 在 省 内 の 情 報 システムや 情 報 セキュリティに 関 する 機 能 は 情 参 室 大 臣 官 房 統 計 情 報 部 その 他 の 部 局 に 分 散 しているが 情 報 セキュリティ 対 策 の 強 化 に 向 け 情 報 システムの 適 切 な 管 理 運 用 とサイバーセキュリティ 対 策 業 務 改 革 等 を 省 全 体 として 整 合 的 に 進 めていくことや インシデント 発 生 時 に 円 滑 な 情 報 共 有 を 図 るためには これらの 機 能 を 再 集 約 再 編 し 情 報 セキュリティ 対 策 の 司 令 塔 機 能 を 強 化 する 必 要 がある このため 平 成 28 年 夏 を 目 途 に 情 参 室 と 厚 労 省 本 省 の 情 報 システムの 管 理 運 用 を 担 当 する 大 臣 官 房 統 計 情 報 部 を 統 合 し 政 策 統 括 官 ( 統 計 情 報 政 策 担 当 )の 下 に 情 報 政 策 政 策 評 価 審 議 官 に 代 わって CISO 及 びCIOを 補 佐 し 情 報 セキュリテ ィ 対 策 と 情 報 政 策 を 総 合 的 一 体 的 に 推 進 する サイバーセキュリティ 情 報 化 審 議 官 ( 副 CISO 副 CIO)を 設 置 するとともに その 下 に 情 報 化 推 進 情 報 政 策 担 当 参 事 官 情 報 セキュリティ 担 当 参 事 官 を 置 くこととするなどの 組 織 再 編 を 行 う 予 定 である また CSIRT( 情 報 セキュリティ 対 策 室 ) 内 において 情 報 セキュリティ 対 策 官 から の 助 言 等 に 基 づき 担 当 部 局 に 対 して 的 確 な 助 言 指 示 を 行 うことができる 人 材 一 5
方 担 当 部 局 においても CSIRT からの 助 言 指 示 等 を 的 確 に 理 解 し 実 行 できる 人 材 を 確 保 育 成 していくことが 必 要 である このため 職 員 のリテラシー 向 上 のため の 研 修 を 含 め 情 報 セキュリティに 関 する 教 育 プログラムの 充 実 に 取 り 組 んでいく 必 要 がある また 今 回 の 情 報 セキュリティポリシー 等 の 改 定 を 通 じて インシデント 発 生 時 の 対 応 基 盤 としてのハード 面 ( 体 制 ルール)の 整 備 は 図 られたが インシデ ント 発 生 時 に ポリシーに 基 づく 体 制 を 有 効 に 機 能 させることができるよう 全 ての 職 員 に 対 し 情 報 セキュリティに 関 する 危 機 意 識 やサイバー 攻 撃 への 対 処 手 順 を 浸 透 させる 必 要 があり 実 践 的 な 訓 練 の 実 施 などソフト 面 での 対 策 強 化 も 求 められる これらを 踏 まえ 平 成 28 年 度 においても PDCA の 観 点 からの 自 己 点 検 情 報 セキ ュリティ 監 査 を 引 き 続 き 実 施 するとともに 教 育 及 び 訓 練 の 一 層 の 充 実 を 図 ることと している( 3 教 育 訓 練 参 照 ) さらに 職 員 のモチベーションの 維 持 向 上 に も 配 慮 しながら 省 内 で 一 定 の 専 門 性 を 有 する 人 材 の 育 成 に 取 り 組 んでいく 必 要 があ り 平 成 28 年 3 月 31 日 にサイバーセキュリティ 戦 略 本 部 で 決 定 された サイバーセ キュリティ 人 材 育 成 総 合 強 化 方 針 に 基 づき 厚 労 省 においても 採 用 人 事 交 流 研 修 キャリアパスの 形 成 等 に 計 画 的 に 取 り 組 む 予 定 である さらに CSIRTにおいては 実 働 要 員 として 情 報 セキュリティ 対 策 室 員 を 位 置 付 け また 専 門 人 材 として 情 報 セキュリティ 対 策 官 を 常 勤 で 配 置 したものの インシデン ト 発 生 時 における 対 処 のほか 平 時 におけるサイバー 脅 威 に 係 る 情 報 収 集 や CSIRT の 対 処 能 力 向 上 のため 実 働 要 員 の 対 応 能 力 を 踏 まえた 専 門 技 術 的 なサポートや 夜 間 休 日 も 含 めた24 時 間 365 日 での 緊 急 即 応 体 制 を 確 保 することが 必 要 である このため 平 成 28 年 度 において インシデント 発 生 時 等 におけるCSIRTへの 緊 急 専 門 的 支 援 業 務 の 外 部 委 託 を 予 定 している (2) 機 構 における 取 組 1 組 織 人 的 体 制 の 強 化 機 構 においては 今 回 の 事 案 の 一 連 の 対 応 において CIO(システム 部 門 担 当 理 事 ) と 情 報 セキュリティ 担 当 部 署 の 部 長 グループ 長 及 び 担 当 者 がラインとして 対 応 して いた しかしながら その 対 応 体 制 について 以 下 の 問 題 があった 基 本 的 な 対 応 は 担 当 者 任 せとなっており CIO(システム 部 門 担 当 理 事 )や 部 長 が 当 該 担 当 者 の 判 断 について 判 断 根 拠 の 確 認 や 具 体 的 指 示 を 行 っていなかった 理 事 長 最 高 情 報 セキュリティ 責 任 者 ( 副 理 事 長 )への 報 告 が 適 時 適 切 に 行 われ ない 場 合 があり 組 織 として 迅 速 な 検 討 が 行 われていなかった 情 報 流 出 事 案 を 対 応 してきたラインに 情 報 セキュリティに 関 する 専 門 的 な 知 識 及 び 経 験 を 有 する 職 員 がおらず ラインにおいて 必 要 な 対 応 判 断 ができなかった 情 報 セキュリティ 担 当 部 署 と 契 約 担 当 部 署 とが 異 なり 責 任 の 所 在 が 不 明 確 で 連 携 が 不 十 分 となっていた また これらの 部 署 間 の 連 携 を 図 ること あるいは 組 織 6
の 統 合 を 検 討 することは CIO(システム 部 門 担 当 理 事 )の 役 割 であったが 具 体 的 な 行 動 はとられていなかった また 機 構 は 管 理 する 情 報 システムにおいて 膨 大 な 個 人 情 報 を 取 り 扱 っていなが ら 情 報 セキュリティ 関 連 業 務 について 全 体 を 指 揮 命 令 する 権 限 を 有 する CSIRT 機 能 を 持 つ 部 署 を 設 置 していなかった さらに 厚 労 省 と 機 構 との 間 における 事 案 発 生 後 の 情 報 共 有 が 担 当 者 レベルにとどまり 幹 部 レベルの 情 報 共 有 監 督 指 示 などが 事 案 発 生 から 相 当 の 期 間 が 経 過 するまで 行 われず 適 切 な 対 応 を 講 じることができな かった このため 機 構 においては 情 報 セキュリティ 対 策 を 重 要 課 題 と 位 置 付 け 組 織 横 断 的 な 対 応 体 制 を 確 立 するとともに その 解 決 に 向 け 迅 速 かつ 的 確 な 対 策 を 実 施 す ることとし 平 成 27 年 10 月 1 日 より 理 事 長 を 本 部 長 とし 各 部 門 の 理 事 等 を 本 部 員 とした 情 報 管 理 対 策 本 部 を 設 置 した そして 情 報 管 理 対 策 本 部 において 情 報 セキ ュリティ 対 策 の 工 程 表 を 策 定 し 業 務 改 善 計 画 における 情 報 セキュリティ 対 策 の 強 化 に 係 る 指 示 や 情 報 セキュリティに 係 る 諸 規 程 手 順 書 等 の 整 備 及 び 情 報 セキュリティ に 係 る 緊 急 時 の 組 織 の 対 応 方 針 の 決 定 を 行 った また 情 報 管 理 対 策 本 部 の 所 掌 事 務 の 実 施 に 関 する 事 務 をつかさどる 理 事 長 直 轄 の 推 進 部 署 として 情 報 管 理 対 策 室 を 設 置 した 情 報 管 理 対 策 室 には 情 報 管 理 グループ( 情 報 管 理 対 策 本 部 の 事 務 局 個 人 情 報 の 保 護 管 理 情 報 セキュリティに 係 る 研 修 及 び 訓 練 内 容 の 企 画 等 ) 情 報 リスク 分 析 グループ(リスクアセスメント 調 査 分 析 評 価 情 報 セキュリティに 係 る 諸 規 程 等 の 整 備 運 用 指 導 等 ) インシデント 対 策 グループ( 平 時 における 脆 弱 性 調 査 情 報 収 集 等 有 事 における 発 生 事 案 の 調 査 分 析 対 応 指 示 等 )の3つのグループを 置 き 情 報 セキュリティの 専 門 家 からの 指 導 助 言 等 を 受 けつつ 実 効 性 のある 対 策 を 講 ずるための 体 制 を 整 備 した さらに 統 括 情 報 セキュリティ 責 任 者 ( 情 報 管 理 対 策 室 長 )の 下 に 情 報 セキュリティインシデントに 係 る 連 絡 調 整 や 情 報 管 理 対 策 本 部 が 決 定 した 方 針 を 機 構 職 員 に 適 切 に 実 行 させるための 指 示 管 理 等 を 行 う 機 構 CSIRT を 設 置 し 機 構 内 外 から 情 報 セキュリティインシデント 事 案 等 が 発 生 したことの 連 絡 の 受 付 並 びに 当 該 事 案 等 の 迅 速 な 本 部 長 ( 理 事 長 ) 副 本 部 長 ( 副 理 事 長 ) 及 び 厚 労 省 等 への 報 告 最 高 情 報 セキュリティ 責 任 者 から 情 報 セキュリティインシデントにかか る 対 応 方 針 の 指 示 を 受 けて 情 報 セキュリティインシデント 対 応 にあたる 機 構 本 部 の 担 当 部 署 に 必 要 な 指 示 の 連 絡 等 を 行 う 役 割 を 担 わせることとした 機 構 CSIRT では 平 常 時 においては インシデント 対 策 グループ 職 員 により 情 報 セキュリティに 関 する 職 員 からの 総 合 的 な 連 絡 窓 口 や 厚 労 省 等 との 連 絡 調 整 等 の 業 務 を 行 っているが 事 案 発 生 時 には 情 報 セキュリティインシデントへの 即 応 性 を 向 上 させるため インシデ ント 対 策 グループ 員 以 外 の 情 報 管 理 対 策 室 職 員 及 び 関 係 部 署 からの 支 援 要 員 ( 本 部 の 即 戦 力 のある 職 員 に 併 任 発 令 )を 招 集 できる 体 制 を 確 保 している また 業 務 改 善 計 画 に 基 づく 情 報 セキュリティ 対 策 の 実 施 内 容 等 と 合 わせて 順 次 日 本 年 金 機 構 情 報 セキュリティポリシー( 以 下 機 構 ポリシー という ) 各 種 手 順 書 等 の 改 正 等 を 進 めている 機 構 ポリシーは 統 一 基 準 や 厚 生 労 働 省 情 報 セキュリテ 7
ィポリシーに 準 拠 し 改 正 を 行 うこととしており それらに 規 定 されている 情 報 セキュ リティ 対 策 について 項 目 ごとに 機 構 における 取 組 の 実 情 に 照 らし 適 用 の 必 要 性 等 を 検 証 の 上 改 正 を 実 施 した さらに 緊 急 時 に 対 処 にあたる 組 織 役 割 分 担 のほか 運 用 管 理 業 者 におけるインシデント 対 応 とも 連 動 した 職 員 による 具 体 的 な 対 処 フロー や 機 構 内 外 の 連 絡 体 制 を 明 確 化 したインシデント 対 処 手 順 書 を 制 定 した この 他 イ ンシデント 発 生 時 の 連 絡 について 厚 労 省 年 金 局 と 機 構 の 連 絡 手 順 の 整 合 性 を 図 りつ つ インシデント 発 生 時 の 連 絡 手 順 を 定 め 日 頃 から 年 金 局 と 機 構 が 綿 密 に 連 絡 を 取 り 合 い セキュリティインシデントに 備 えている 2 今 後 の 取 組 上 記 のとおり 情 報 セキュリティ 対 策 強 化 のための 体 制 整 備 については 理 事 長 を 本 部 長 とする 情 報 管 理 対 策 本 部 の 下 で 情 報 セキュリティ 対 策 を 一 元 的 に 管 理 すること とし 情 報 管 理 対 策 室 機 構 CSIRT を 設 置 したことは 一 定 程 度 の 成 果 を 上 げたところ である こうした 体 制 は 強 化 拡 充 を 進 めているところであるが これから 現 場 の 職 員 一 人 一 人 まで 国 民 の 重 要 な 個 人 情 報 の 保 護 に 関 する 責 任 を 自 覚 し ルールの 内 容 と いざというときに 自 らが 何 をすべきかの 理 解 を 迅 速 かつ 徹 底 して 深 めていく 必 要 がある また 組 織 としてインシデントを 予 防 し 適 切 に 対 応 していくための 専 門 的 な 視 点 による 情 報 セキュリティ 対 策 の 司 令 塔 機 能 を 強 化 する 必 要 がある このた め 機 構 においては 平 成 28 年 4 月 より 高 度 の 専 門 知 識 経 験 を 基 に 情 報 管 理 対 策 本 部 及 び 最 高 情 報 セキュリティ 責 任 者 (CISO)が 情 報 セキュリティ 対 策 の 推 進 に 係 る 意 思 決 定 を 行 うための 助 言 や 支 援 を 行 うことを 目 的 として 最 高 情 報 セキュリティア ドバイザーを 設 置 することとするとともに 情 報 管 理 対 策 本 部 情 報 管 理 対 策 室 及 び 機 構 CSIRT の 運 営 並 びに 施 策 等 の 網 羅 性 及 び 有 効 性 等 の 向 上 を 目 的 として 情 報 セキ ュリティ 専 門 家 の 立 場 から 支 援 を 行 う 情 報 セキュリティ 対 策 専 門 の 支 援 業 者 を 設 置 す ることとしている 2 技 術 的 対 策 (1) 厚 労 省 における 取 組 1 標 的 型 攻 撃 に 対 する 多 重 防 御 対 策 今 回 の 情 報 流 出 事 案 では インターネット 接 続 環 境 下 にある 機 構 LAN システムに 対 し 標 的 型 メール 攻 撃 による 不 正 アクセスが 行 われ 共 有 ファイルサーバに 保 存 して いた 個 人 情 報 の 一 部 が 流 出 した この 情 報 の 中 には インターネットと 論 理 的 に 分 離 している 基 幹 系 システムから 業 務 上 機 構 LAN システムに 移 管 され 削 除 されずに そのまま 保 管 されていたものが 含 まれていた 8
このように 情 報 システムにおいて 個 人 情 報 等 の 重 要 情 報 がインターネットに 接 続 する 環 境 に 置 かれる 状 況 が 生 じないようにするためには 本 来 業 務 プロセスにお ける 情 報 の 適 切 な 取 扱 いという 観 点 から そうした 状 況 が 発 生 しうるリスクを 評 価 し た 上 で 業 務 に 応 じた 情 報 管 理 対 策 をシステムの 企 画 設 計 の 段 階 から 講 じていくこ とが 必 要 である こうした 考 え 方 に 立 脚 しつつ 一 方 で 厚 労 省 の 業 務 内 容 及 びそれに 応 じたシステ ムは 膨 大 かつ 多 様 でありリスク 評 価 に 基 づいたシステム 構 築 には 一 定 の 時 間 を 要 する ことから まずは 緊 急 的 な 対 応 として 個 人 情 報 等 の 重 要 情 報 を 取 り 扱 うシステム について インターネットから 物 理 的 又 は 論 理 的 に 分 離 し 当 該 情 報 をインターネッ トで 利 用 しないこととする 措 置 を 講 じた( 平 成 27 年 9 月 ) このうち 厚 労 省 LAN シ ステムで 運 用 していた 個 人 情 報 等 については インターネットから 物 理 的 に 切 り 離 し た 暫 定 的 なスタンドアロン 端 末 を 設 置 し 管 理 することとした その 後 業 務 単 位 で 関 係 者 が 個 人 情 報 等 を 共 有 できるネットワークを 構 築 し それを 前 提 とする 個 人 情 報 等 管 理 端 末 を 暫 定 端 末 に 代 えて 設 置 し 全 職 員 に 対 して 運 用 上 のルールについて 周 知 徹 底 を 図 った( 平 成 28 年 1 月 ) 平 成 28 年 度 においては その 運 用 管 理 に 当 たり 情 報 漏 えい 対 策 の 更 なる 強 化 に 取 り 組 む 予 定 である 一 方 厚 労 省 が 保 有 する 各 システムや 機 構 の 情 報 系 システムが 接 続 され これらの システムのインターネット 接 続 口 となっている 厚 労 省 統 合 ネットワークについては 標 的 型 メールのような 外 部 からの 攻 撃 を 完 全 に 防 御 することはできないことを 前 提 に 攻 撃 を 受 けても 早 期 に 認 知 対 応 し 実 際 の 被 害 を 最 小 限 に 止 めるための 措 置 を 講 じ る 必 要 がある このため 標 的 型 攻 撃 によるウィルスの 侵 入 を 低 減 する 入 口 対 策 をこ れまで 講 じてきたが これに 加 えて 平 成 28 年 度 においては 情 報 ネットワーク 及 び 情 報 システムへの 侵 入 拡 大 や 不 正 な 通 信 をリアルタイムで 監 視 し 適 正 に 遮 断 する 機 能 の 導 入 を 始 めとする 内 部 出 口 対 策 も 含 め 標 的 型 攻 撃 に 対 する 多 重 防 御 対 策 を 強 化 する 予 定 である この 一 環 として 複 数 の 機 器 からの 不 審 な 通 信 に 係 る 証 跡 情 報 を 収 集 解 析 した 上 で 自 動 遮 断 を 行 う 運 用 を 平 成 28 年 度 当 初 より 暫 定 的 に 開 始 したところ であり 今 後 専 門 人 材 の 助 言 も 受 けながら 自 動 遮 断 の 基 準 を 策 定 する 予 定 である これらの 対 策 は 適 切 な 運 用 が 行 われることを 前 提 に 一 定 の 効 果 が 発 揮 されるも のである また インシデント 発 生 時 の 対 応 を 含 め 統 合 ネットワークとこれに 接 続 するシステムとの 間 で 漏 れや 重 複 が 無 いように 対 策 が 行 われるよう 十 分 な 連 携 を 図 っていくことも 必 要 であり 今 後 日 常 的 なコミュニケーションの 確 保 や 実 践 的 なイ ンシデント 訓 練 の 実 施 が 求 められる 2 リスク 評 価 厚 生 労 働 行 政 においては 情 報 システムの 利 活 用 が 業 務 運 営 に 不 可 欠 となっている 現 在 自 らの 組 織 が 取 り 扱 っている 情 報 の 重 要 性 ( 情 報 資 産 の 価 値 )や 当 該 情 報 を 活 9
用 した 業 務 運 営 において 生 じ 得 るリスクを 正 しく 認 識 評 価 した 上 で 実 現 可 能 な 業 務 プロセスやルール 等 の 業 務 基 盤 を 整 備 し 業 務 が 円 滑 に 行 われるよう 人 的 資 源 の 再 配 置 や 業 務 運 営 に 必 要 な 人 材 の 育 成 を 行 っていくことが 必 要 である その 際 幹 部 職 員 を 含 む 全 職 員 が 日 常 業 務 を 遂 行 する 上 で セキュリティを 常 に 意 識 できる 環 境 を 整 えるとともに 業 務 上 取 り 扱 っている 情 報 について 漏 えい 改 ざん 消 失 等 があ った 場 合 のインパクトについて 職 員 自 らが 意 識 を 持 つことが 重 要 である 特 に 幹 部 職 員 においては こうした 情 報 セキュリティに 関 する 意 識 改 革 だけでなく 業 務 全 体 にわたる 改 善 に 向 けたマネジメント 面 の 意 識 改 革 も 必 要 であり 平 成 27 年 度 において は 幹 部 職 員 を 対 象 として マネジメント 生 産 性 向 上 働 き 方 の 見 直 し 優 先 順 位 の 明 確 化 求 められる 管 理 職 像 等 を 内 容 とする 研 修 を 実 施 したところであり こうし た 研 修 は 今 後 継 続 して 実 施 していくことが 必 要 である また 緊 急 的 な 対 策 として 個 人 情 報 等 の 重 要 情 報 をインターネット 接 続 環 境 から 分 離 したことにより サイバー 攻 撃 による 情 報 セキュリティに 係 るリスクは 低 減 された 一 方 で 業 務 上 の 利 便 性 が 損 なわれ オペレーションによる 同 リスクが 顕 在 化 する 可 能 性 もある 省 内 の 業 務 情 報 システム 情 報 セキュリティの 各 担 当 部 局 が 協 働 して リスクを 最 小 化 できるよう 省 内 システムの 構 築 運 用 及 び 業 務 プロセスの 改 善 に 取 り 組 んでいくことが 必 要 である このため 平 成 28 年 度 より 厚 労 省 が 保 有 する 個 人 情 報 等 の 重 要 情 報 を 取 り 扱 うシ ステムや 当 該 情 報 を 取 り 扱 う 業 務 プロセスの 現 状 を 把 握 し それぞれの 実 態 やリスク を 組 織 的 に 共 有 し 業 務 内 容 に 応 じたシステム 上 業 務 運 営 上 の 情 報 管 理 対 策 を 講 じ るための 一 連 の 取 組 を リスク 評 価 として 実 施 することとしている その 際 には 当 該 情 報 そのものの 価 値 や 業 務 プロセスに 内 在 する 脆 弱 性 について 分 析 し リスクの 特 定 抽 出 を 行 うこと インシデント 発 生 時 の 影 響 度 やリスクの 発 生 確 率 等 について 分 析 を 行 うこと 業 務 の 継 続 等 の 視 点 から 組 織 に 与 えるリスクについて 評 価 を 行 うこ と そして これらの リスクアセスメント を 踏 まえ リスクに 対 応 するためのコ ストを 勘 案 した 上 で 対 策 の 内 容 を 決 定 していくことが 本 来 必 要 となるが 第 一 段 階 としては 業 務 上 取 り 扱 う 情 報 の 内 容 や 業 務 フロー 情 報 の 取 得 から 廃 棄 までの 一 連 のライフサイクルの 視 点 から 業 務 プロセスを 把 握 することが 重 要 である このため 平 成 28 年 度 においては 情 参 室 と 各 部 局 の 業 務 担 当 職 員 システム 担 当 職 員 等 が 一 体 となって 漏 えい 等 による 影 響 が 大 きいと 考 えられる 情 報 の 抽 出 業 務 のプロセスや 情 報 セキュリティ 対 策 等 の 確 認 を 行 い リスクの 評 価 を 行 った 上 で 情 報 セキュリティ 対 策 に 係 る 改 善 策 を 検 討 し 改 善 計 画 を 策 定 する これら 一 連 のリスク 評 価 の 実 施 方 法 の 構 築 (ガイドラインの 作 成 )に 取 り 組 む 予 定 である (2) 機 構 における 取 組 1 機 構 の 情 報 システムとセキュリティ 対 策 等 10
公 的 年 金 業 務 の 実 施 にあたっては 年 金 個 人 情 報 に 対 する 情 報 セキュリティ 対 策 と して 政 府 機 関 の 情 報 セキュリティ 対 策 のための 統 一 基 準 ( 平 成 26 年 度 版 ) ( 平 成 26 年 5 月 19 日 情 報 セキュリティ 政 策 会 議 決 定 )( 以 下 統 一 基 準 という ) 等 を 踏 まえた 情 報 セキュリティ 対 策 を 実 施 してきた しかしながら 機 構 LAN システムにお いて 年 金 個 人 情 報 を 保 有 する 際 は パスワード 設 定 などのセキュリティ 対 策 の 実 施 を 条 件 としていたものの 年 金 個 人 情 報 を 保 管 した 共 有 ファイルサーバをインターネッ ト 環 境 下 に 置 くシステム 設 計 は 業 務 運 用 の 実 態 を 踏 まえたリスク 管 理 とは 言 えず そもそも 問 題 があった 機 構 では インターネット 環 境 下 にある 共 有 ファイルサーバ 内 に 年 金 個 人 情 報 が 置 かれている 実 態 リスクを 認 識 していたが 具 体 的 な 指 摘 提 言 や 対 処 策 の 検 討 が 行 われていなかった さらに 共 有 ファイルサーバの 運 用 ルールは 定 められていたが 共 有 ファイルサーバがインターネット 環 境 下 に 設 置 されているというリスク 認 識 が 十 分 ではなかったため 外 部 からの 攻 撃 に 対 する 対 策 に 関 して 十 分 な 検 討 が 行 われず パスワード 又 はアクセス 制 限 の 設 定 といった 内 部 からの 脅 威 に 重 点 を 置 いた 情 報 セキ ュリティ 対 策 となっていた また 共 有 ファイルサーバの 運 用 ルールが 本 当 に 実 行 さ れているかなどの 点 検 確 認 が 適 切 に 行 われておらず 運 用 ルール 自 体 が 有 名 無 実 化 している 状 況 となっていた この 他 機 構 におけるリスクアセスメントにおいては 平 成 26 年 度 より 外 部 から のサイバー 攻 撃 をリスク 項 目 として 付 加 していたものの 具 体 的 なリスク 対 応 の 立 案 までは 至 っていなかった 機 構 においては 情 報 技 術 の 進 展 や 内 外 の 環 境 の 変 化 等 を 的 確 にとらえ それに 応 じた 情 報 セキュリティ 対 策 を 適 切 に 講 じることとしている 前 記 2(1)1のとおり 今 回 の 情 報 流 出 事 案 では 年 金 個 人 情 報 をインターネッ トと 接 続 した 機 構 LAN システムに 置 いて 作 業 し 当 該 システムがインターネットを 経 由 して 攻 撃 された 結 果 不 正 アクセスによりインターネットに 接 続 された 外 部 のサー バに 年 金 個 人 情 報 が 持 ち 出 されたことが 直 接 の 原 因 であり これを 踏 まえ 機 構 にお いては 大 量 の 年 金 個 人 情 報 や 機 微 情 報 を 取 り 扱 う 業 務 に 対 してインターネット 経 由 の 攻 撃 が 及 ばないよう 情 報 システムの 分 離 を 確 実 に 行 うとともに 分 離 された 情 報 システム 内 で 業 務 が 円 滑 に 完 結 するよう 情 報 システムの 設 計 構 築 運 用 及 びルール 徹 底 を 行 うこととしている さらに 機 構 LAN システムについては これまで 実 施 してきた 情 報 セキュリティ 対 策 を 継 続 実 施 した 上 で 機 構 職 員 及 び 情 報 セキュリティ 対 策 専 門 の 支 援 業 者 により 業 務 の 実 態 を 踏 まえたリスク 評 価 を 行 い 統 一 基 準 等 に 準 拠 した 多 重 の 防 御 策 を 講 じ ていくこととしている 具 体 的 には 基 幹 システム 機 構 LAN システム 及 びインター ネット 環 境 については それぞれのシステムの 独 立 性 完 全 性 を 確 保 するため 分 離 し た 仕 組 みにすることとし インターネット 環 境 を 基 幹 システム 及 び 機 構 LAN システ ムの 領 域 から 分 離 した 領 域 に 新 たに 構 築 することとしている なお 現 在 禁 止 してい るインターネットメールについては 従 前 の 独 自 回 線 経 由 でメールの 送 受 信 を 行 って 11
いた 環 境 を 厚 労 省 統 合 ネットワーク 経 由 に 改 めるとともに 統 一 基 準 等 に 準 拠 した 情 報 セキュリティ 対 策 を 施 した 仕 様 により 運 用 を 再 開 することとして 検 討 を 進 めてい る また 新 たに 年 金 個 人 情 報 専 用 の 共 有 フォルダ( 以 下 専 用 共 有 フォルダ という ) を 機 構 LAN システムから 遮 断 された 基 幹 システムの 領 域 に 構 築 し 年 金 個 人 情 報 を 管 理 運 用 する 領 域 を 基 幹 システムに 限 定 することとした さらに 当 該 専 用 共 有 フ ォルダへのアクセスを 限 定 し 年 金 個 人 情 報 のインターネット 環 境 への 移 動 を 物 理 的 に 制 限 することとしている この 他 インターネットに 接 続 している 機 構 ホームページ 等 については 運 用 管 理 業 者 等 により 情 報 セキュリティ 対 策 の 点 検 を 行 った 今 後 は 専 用 共 有 フォルダの 安 全 性 を 更 に 高 めるため 基 幹 システムへのアクセス と 同 様 に 生 体 認 証 をもってアクセス 可 能 な 者 を 識 別 する 仕 組 みを 導 入 し より 厳 格 なアクセス 制 御 を 行 うこととするとともに 当 該 フォルダへ 年 金 個 人 情 報 等 を 格 納 す る 場 合 は 自 動 的 に 暗 号 化 設 定 を 行 う 仕 組 みを 導 入 することとする なお 機 構 LANシステムについては 平 成 30 年 度 にシステムの 更 改 を 予 定 しており 統 一 基 準 等 に 準 拠 した 情 報 セキュリティ 対 策 を 施 した 仕 様 として 要 件 定 義 を 進 めて いる 2 機 構 の 運 用 管 理 対 策 機 構 においては ソフトウェアベンダから 提 供 される 脆 弱 性 情 報 を 定 常 的 にチェッ クし 重 大 な 脆 弱 性 に 対 応 するセキュリティパッチの 適 用 を 速 やかに 行 う 必 要 がある が 適 用 作 業 に 伴 うシステム 停 止 等 により 業 務 に 影 響 を 及 ぼすのではないかとの 懸 念 から その 実 施 が 先 延 ばしにされていた 情 報 流 出 事 案 では 既 知 の 脆 弱 性 を 突 か れたことにより 機 構 LANシステムの 管 理 者 権 限 が 窃 取 されたが この 脆 弱 性 は 平 成 26 年 以 来 指 摘 されていたものであり 重 要 な 脆 弱 性 に 対 するセキュリティパッチの 適 用 の 遅 れがこのような 結 果 を 招 いた また 機 構 LANシステムの 端 末 における 管 理 者 IDとパスワードが 全 て 同 一 であるな ど 管 理 者 権 限 の 適 切 な 管 理 が 不 十 分 であったことにより 短 時 間 に 広 範 囲 の 端 末 へ 感 染 が 拡 大 した さらに 通 信 を 監 視 し ウィルス 感 染 等 を 早 期 に 検 知 する 機 能 が 整 備 されていなか ったことや 運 用 管 理 業 者 が 作 成 する 手 順 書 として 情 報 セキュリティインシデント に 関 する 具 体 的 な 手 順 が 明 確 にされていなかったことなども 情 報 流 出 事 案 の 一 因 とな っており こうした 教 訓 を 踏 まえた 運 用 管 理 対 策 を 講 じていく 必 要 がある このため 機 構 においては セキュリティパッチの 最 新 化 管 理 者 権 限 の 適 切 な 管 理 ネットワークシステムの 常 時 監 視 (モニタリング) 等 の 運 用 管 理 対 策 ( 情 報 セキ ュリティに 関 する 契 約 内 容 の 具 体 化 による 外 部 委 託 先 の 適 切 な 管 理 を 含 む )を 講 じる 12
こととしている 具 体 的 には セキュリティパッチの 最 新 化 については 既 知 の 脆 弱 性 を 放 置 しない ようオペレーティングシステムやソフトウェアに 対 する 最 新 のセキュリティパッチの 適 用 を 遵 守 するよう 運 用 管 理 業 者 に 指 示 し 適 切 に 最 新 化 を 行 っている また 機 構 LAN システムにおける 管 理 者 権 限 の 適 切 な 管 理 にあたっては 管 理 者 権 限 の 不 正 利 用 を 防 止 し そのセキュリティレベルを 向 上 する 観 点 から 全 てのパスワ ードを 変 更 し 継 続 的 に 変 更 していく 運 用 に 見 直 すとともに 不 要 な 管 理 者 IDを 確 実 に 消 去 する 運 用 としている さらに 重 要 機 器 の 監 視 に 関 し 機 構 では 運 用 管 理 業 者 や 情 報 セキュリティ 対 策 専 門 の 支 援 業 者 の 意 見 を 踏 まえながら 監 視 方 法 及 び 監 視 基 準 等 について 規 定 した 上 で 監 視 を 行 っているところである 上 記 の 各 対 策 に 加 え 運 用 管 理 業 者 が 作 成 する 手 順 書 においては 現 在 契 約 してい る 運 用 管 理 業 者 と 協 議 の 上 今 回 改 善 策 を 講 じた 機 構 LAN システムに 係 る 運 用 管 理 業 務 について 運 用 管 理 業 者 が 作 成 する 情 報 セキュリティインシデントに 関 する 具 体 的 な 手 順 を 改 正 し 運 用 管 理 業 者 が 実 施 すべき 取 扱 いについて 明 確 に 規 定 した 今 後 平 成 30 年 度 に 予 定 している 機 構 LANシステムの 更 改 までの 間 において 運 用 管 理 業 務 の 改 善 が 必 要 と 見 込 まれる 事 項 が 判 明 した 場 合 は 同 様 の 取 扱 いを 実 施 する 予 定 である 3 機 構 における 情 報 セキュリティ 監 査 機 構 においては これまで 年 金 個 人 情 報 の 流 出 防 止 という 観 点 から 通 常 の 事 務 処 理 がルール 通 りに 行 われているかということに 重 点 を 置 いた 業 務 監 査 及 び 個 別 システ ムのリスク 分 析 を 行 い 優 先 順 位 をつけた 上 で 機 構 ポリシーなどの 諸 規 程 等 に 基 づ き 運 用 されているかという 観 点 でのシステム 監 査 を 行 ってきたが 第 三 者 の 視 点 によ る 客 観 性 や 専 門 性 を 確 保 できるという 長 所 がある 外 部 の 専 門 家 による 情 報 セキュリテ ィ 監 査 は 実 施 してこなかった このような 状 況 を 改 善 するため 情 報 セキュリティ 対 策 の 最 先 端 の 技 術 的 な 動 向 を 踏 まえた 独 立 した 外 部 の 専 門 家 による 情 報 セキュリティ 監 査 を 定 期 的 継 続 的 に 受 け 結 果 を 厚 労 省 と 共 有 することとしている また 外 部 の 専 門 家 による 監 査 だけではなく 内 部 監 査 についても 体 制 整 備 の 上 機 構 ポリシーに 基 づく 基 本 的 な 情 報 セキュリティ 対 策 に 係 る 監 査 を 幅 広 く 実 施 するこ ととしている 平 成 28 年 度 計 画 では 外 部 監 査 は 業 務 改 善 計 画 における 情 報 セキュリティ 対 策 の 技 術 面 について 内 部 監 査 は 業 務 改 善 計 画 における 情 報 セキュリティ 対 策 の 業 務 運 用 面 について それぞれ 監 査 を 行 うこととしている 13
3 教 育 訓 練 (1) 厚 労 省 及 び 所 管 法 人 等 における 取 組 今 回 の 情 報 流 出 事 案 が 発 生 した 大 きな 要 因 として 厚 労 省 は 国 民 生 活 に 密 接 に 関 わ る 行 政 を 担 当 しており 本 省 や 地 方 支 分 部 局 施 設 等 機 関 及 び 所 管 法 人 等 を 含 め 膨 大 な 個 人 情 報 や 機 微 な 情 報 を 扱 っているにも 関 わらず 標 的 型 攻 撃 の 危 険 性 を 含 め 情 報 セキュリティの 重 要 性 に 対 する 意 識 が 省 全 体 として 希 薄 であった また こうし た 中 で 職 員 間 上 司 と 部 下 の 間 関 係 組 織 間 で 情 報 や 危 機 感 が 適 時 的 確 に 共 有 さ れず 組 織 が 一 体 として 迅 速 に 危 機 に 当 たることができなかったことも 一 因 として 挙 げられる 患 者 や 働 く 方 々などの 国 民 の 個 人 情 報 を 守 り 情 報 セキュリティに 関 する 信 頼 を 得 ていくためには 今 回 の 情 報 流 出 事 案 を 踏 まえ 職 員 の 意 識 改 革 やリテラシー 向 上 の ための 教 育 訓 練 を 行 うとともに 所 管 法 人 等 においてもその 徹 底 を 図 っていくことが 必 要 である このため 厚 労 省 においては 今 回 の 事 案 発 生 直 後 より 幹 部 を 含 む 全 職 員 を 対 象 に 各 種 研 修 や 訓 練 等 を 順 次 実 施 するとともに 所 管 法 人 等 においても 教 育 訓 練 を 含 め 必 要 な 情 報 セキュリティ 対 策 が 実 施 されるよう 法 人 等 に 対 する 指 導 監 督 の 取 組 を 進 めた 1 厚 労 省 における 取 組 厚 労 省 の 組 織 全 体 として 危 機 意 識 や 情 報 セキュリティに 関 する 意 識 の 向 上 を 図 るた め 平 成 27 年 7 月 以 降 政 務 3 役 事 務 4 役 部 局 長 を 含 む 幹 部 各 部 局 の 筆 頭 課 長 ( 情 報 セキュリティ 責 任 者 ) 課 室 長 ( 課 室 情 報 セキュリティ 責 任 者 )を 対 象 に 役 職 階 層 別 の 研 修 を 順 次 実 施 するとともに 今 回 の 事 案 発 生 直 後 ( 平 成 27 年 6 月 ) 及 び 再 発 防 止 策 取 りまとめ 直 後 ( 同 年 9 月 )に 全 職 員 あてに 個 人 情 報 等 を 含 む 重 要 情 報 の 適 正 管 理 について 周 知 した また 業 務 適 正 化 推 進 月 間 ( 平 成 27 年 10 月 19 日 ~11 月 13 日 )では 職 員 間 の 情 報 共 有 や 職 場 でのコミュニケーションの 確 保 の 徹 底 を 図 るための 研 修 を 実 施 するとと もに 電 子 政 府 利 用 促 進 週 間 ( 同 年 11 月 2~6 日 )では 過 去 に 政 府 等 で 発 生 した 事 案 や 情 報 セキュリティに 関 する 最 新 の 動 向 を 踏 まえ 部 局 情 報 セキュリティ 管 理 者 ( 筆 頭 課 の 総 務 係 長 ) 等 を 対 象 とした 研 修 を 実 施 した サイバーセキュリティ 月 間 ( 平 成 28 年 2 月 1 日 ~3 月 18 日 )では 今 回 の 情 報 流 出 事 案 を 踏 まえた 平 成 27 年 12 月 の 厚 生 労 働 省 情 報 セキュリティポリシー 等 の 改 定 の 内 容 を 基 に インシデント 発 生 時 の 速 やかな 報 告 連 絡 体 制 の 構 築 等 について 課 室 情 報 セキュリティ 管 理 者 ( 課 室 の 庶 務 係 長 等 )などを 対 象 とした 研 修 を 実 施 した ま た 全 職 員 あてに 標 的 型 攻 撃 を 念 頭 に 置 いた 不 審 メールへの 対 応 等 について 周 知 す 14
るとともに 情 報 セキュリティポリシーに 基 づくセキュリティ 対 策 や 個 人 情 報 の 適 正 管 理 等 に 関 する e ラーニングの 受 講 促 進 を 行 い 平 成 27 年 度 末 までに 約 98%の 受 講 率 を 達 成 した 平 成 28 年 度 においても 引 き 続 き 全 職 員 対 象 及 び 役 職 階 層 別 の 情 報 セキュリティ 研 修 ( 集 合 研 修 eラーニング) 職 員 間 での 情 報 共 有 の 徹 底 を 図 るための 研 修 を 実 施 することとしているが 今 回 の 情 報 流 出 事 案 も 含 め これまで 蓄 積 されてきた 過 去 の インシデント 対 応 のノウハウについては それを 俗 人 化 させず 組 織 として 共 有 し 活 用 できるようにする 仕 組 みを 構 築 することが 必 要 である こうした 観 点 から 平 成 28 年 度 より 毎 年 6 月 に 厚 労 省 独 自 の 集 中 的 取 組 期 間 を 設 定 し 今 回 の 事 案 を 風 化 させないための 取 組 を 実 施 する 予 定 である また 情 報 セキュリティ 研 修 の 中 で 引 き 続 き 過 去 の 事 案 や 情 報 セキュリティの 最 近 の 脅 威 と 対 策 等 の 教 育 を 実 施 するとと もに 新 たな 取 組 として インシデント 経 験 者 による 勉 強 会 形 式 の 研 修 等 の 実 施 につ いて 検 討 することとしている 標 的 型 メール 攻 撃 訓 練 については 上 記 の 研 修 等 を 通 じて 周 知 した 内 容 の 徹 底 を 図 る 観 点 から 平 成 27 年 12 月 に 各 部 局 で 抽 出 された 職 員 を 対 象 に 抜 き 打 ち 的 に 標 的 型 メールを 送 付 し 受 信 時 や 開 封 した 場 合 の 初 動 対 応 CSIRT への 必 要 な 報 告 の 実 施 等 の 訓 練 を 実 施 した また 平 成 28 年 2 月 には 情 報 セキュリティ 監 査 の 一 環 として 全 職 員 を 対 象 とした 標 的 型 メール 攻 撃 訓 練 を 実 施 した これらの 訓 練 の 結 果 部 局 に よってメールの 開 封 率 等 にばらつきが 見 られたことから 平 成 28 年 度 においても 引 き 続 き 標 的 型 メール 攻 撃 への 対 処 について 研 修 等 による 一 層 の 周 知 徹 底 を 図 ってい く 必 要 がある 省 内 での 訓 練 に 加 えて CSIRT 要 員 をはじめ 厚 労 省 の 職 員 や 機 構 を 含 む 所 管 法 人 等 の 職 員 が 総 務 省 主 催 の 実 践 型 サイバー 防 御 演 習 (CYDER) ( 平 成 27 年 10~12 月 ) に 参 加 したほか CSIRT 要 員 は NISC 主 催 の CYMAT 研 修 や 民 間 企 業 の 実 践 的 なサイ バーセキュリティ 研 修 に 参 加 した そして 平 成 28 年 3 月 18 日 に 開 催 されたNATIONAL 318(CYBER) EKIDENでは CSIRT 要 員 を 中 心 とする 厚 労 省 職 員 が 参 加 し 最 優 秀 チーム ワークの 総 務 大 臣 賞 を 受 賞 することができた この 結 果 に 満 足 することなく インシ デント 対 処 能 力 の 更 なる 向 上 に 向 けて 取 り 組 んでいく 必 要 がある 標 的 型 攻 撃 だけでなく 他 のインシデント 発 生 時 の 対 処 や 報 告 連 絡 体 制 の 確 認 等 のための 訓 練 については インシデントの 発 見 から 封 じ 込 めまでの 初 動 対 応 に 重 点 を 置 きつつ 実 施 することが 必 要 である このため 平 成 28 年 度 においては 引 き 続 き 標 的 型 メール 攻 撃 訓 練 の 実 施 や 今 後 は 国 立 研 究 開 発 法 人 情 報 通 信 研 究 開 発 機 構 (NICT) で 実 施 される 予 定 の CYDER 等 の 演 習 への 参 加 とともに 新 たに 外 部 委 託 する CSIRT への 専 門 的 支 援 業 務 の 中 で CSIRT の 初 動 対 応 を 含 めた 演 習 を 実 施 する 予 定 である 2 所 管 法 人 等 における 取 組 15
厚 労 省 の 所 管 法 人 等 における 情 報 セキュリティ 対 策 については 当 該 法 人 等 が 責 任 を 持 って 行 うことを 基 本 としつつ 厚 労 省 と 所 管 法 人 等 が 一 体 となって 日 常 的 な 対 策 やインシデント 発 生 時 の 緊 急 対 応 を 行 うという 方 針 の 下 に 情 報 の 共 有 や 指 導 監 督 の 取 組 を 進 めてきた ア 体 制 整 備 平 成 27 年 12 月 7 日 に 厚 労 省 所 管 法 人 等 における 情 報 セキュリティ 対 策 連 絡 会 議 ( 以 下 連 絡 会 議 という )を 開 催 し 各 法 人 等 の 理 事 長 を 対 象 に CISO CSIRT の 設 置 を 含 め 法 人 等 における 情 報 セキュリティ 対 策 の 実 効 性 のある 推 進 体 制 の 整 備 や 情 報 セキュリティアドバイザーなど 具 体 的 なセキュリティ 対 策 に 係 る 助 言 等 ができる 人 材 の 育 成 確 保 についてトップダウンでの 取 組 を 要 請 した また 同 年 12 月 21 日 の 厚 生 労 働 省 情 報 セキュリティポリシー 及 びインシデント 対 処 手 順 書 の 見 直 しにおいて 所 管 法 人 等 でのインシデント 発 生 時 における 当 該 法 人 等 と 厚 労 省 の 担 当 部 局 の 役 割 の 明 確 化 CSIRT 担 当 部 局 の 局 長 審 議 官 大 臣 を 始 めとする 幹 部 に 対 する 速 やかな 報 告 連 絡 体 制 の 構 築 担 当 部 局 の 責 任 者 が 果 た すべき 役 割 職 責 の 明 確 化 等 を 内 容 とする 改 定 を 行 った また 当 該 改 定 内 容 につ いて 平 成 28 年 2 月 10 日 に 各 所 管 法 人 等 の 情 報 セキュリティ 担 当 職 員 を 対 象 とし た 研 修 を 実 施 するとともに 同 年 2 月 18 日 には 所 管 法 人 等 の 理 事 クラスを 対 象 と した 連 絡 会 議 を 開 催 し 周 知 を 行 った 今 回 のポリシー 改 定 等 に 基 づき インシデント 発 生 時 に 所 管 法 人 等 から 担 当 部 局 を 通 じて CSIRT や 幹 部 までの 報 告 や 円 滑 な 意 思 疎 通 がより 迅 速 に 行 われるよう 所 管 法 人 等 との 日 常 的 なコミュニケーションを 積 極 的 に 行 うとともに 担 当 部 局 と 所 管 法 人 等 との 間 で 連 絡 報 告 体 制 の 構 築 や それに 基 づく 実 践 的 な 訓 練 の 実 施 が 必 要 である こうした 観 点 を 含 め 平 成 28 年 度 においては 厚 労 省 と 所 管 法 人 等 との 連 携 に 係 る 教 育 訓 練 の 実 施 について 検 討 することとしている イ 技 術 的 対 策 所 管 法 人 等 においても 個 人 情 報 等 の 重 要 情 報 がインターネットに 接 続 する 環 境 に 置 かれる 状 況 が 生 じないようにするためには 業 務 プロセスにおける 情 報 の 適 切 な 取 扱 いという 観 点 から そうした 状 況 が 発 生 しうるリスクを 評 価 した 上 で 業 務 に 応 じた 情 報 管 理 対 策 をシステムの 企 画 設 計 の 段 階 から 講 じていくことが 必 要 で ある しかしながら こうした 取 組 には 一 定 の 期 間 を 要 することから 緊 急 的 な 対 応 として 全 ての 所 管 法 人 等 において 個 人 情 報 等 の 重 要 情 報 をインターネットか ら 物 理 的 又 は 論 理 的 に 分 離 するなど 必 要 なシステム 上 の 措 置 を 実 施 した( 平 成 27 年 9 月 ) 平 成 28 年 度 においては 厚 労 省 本 省 と 同 様 に 所 管 法 人 等 が 保 有 する 個 人 情 報 等 の 重 要 情 報 を 取 り 扱 うシステムや 当 該 情 報 を 取 り 扱 う 業 務 プロセスの 現 状 を 16
把 握 し それぞれの 実 態 やリスクを 組 織 的 に 共 有 し 業 務 内 容 に 応 じたシステム 上 業 務 運 営 上 の 情 報 管 理 対 策 を 講 じるための リスク 評 価 を 実 施 することとしてい る (2(1)2 参 照 ) この 他 最 近 の 攻 撃 の 動 向 等 を 踏 まえ インターネット 接 続 口 の 集 約 化 や DDoS 攻 撃 ソフトウェアの 脆 弱 性 を 突 いたホームページの 改 ざん インターネットに 接 続 されている 機 器 のセキュリティ 対 策 等 について 適 切 に 対 応 するよう 平 成 28 年 2 月 の 連 絡 会 議 において 周 知 を 行 った ウ 教 育 訓 練 今 回 の 情 報 流 出 事 案 を 踏 まえ 所 管 法 人 等 に 対 しても 個 人 情 報 等 を 含 む 重 要 情 報 の 適 正 管 理 について 周 知 を 行 うとともに 担 当 部 局 の 課 室 長 及 び 所 管 法 人 等 の 理 事 部 長 クラスを 対 象 とした 研 修 を 実 施 した( 平 成 27 年 10 月 ) また 総 務 省 が 主 催 する 実 践 型 サイバー 防 御 演 習 (CYDER)に 所 管 法 人 等 の 職 員 も 参 加 した ( 平 成 27 年 10~12 月 ) 平 成 28 年 2 月 10 日 には 所 管 法 人 等 の 情 報 セキュリティ 担 当 職 員 を 対 象 とした 集 合 研 修 を 実 施 し 厚 生 労 働 省 セキュリティポリシーの 改 定 内 容 等 について 周 知 を 図 った また 同 年 2 月 18 日 の 連 絡 会 議 においても 個 人 情 報 等 の 重 要 情 報 の 適 正 管 理 について 改 めて 周 知 するとともに 所 管 法 人 等 においても 職 員 の 意 識 改 革 リ テラシー 向 上 のための 教 育 研 修 等 に 取 り 組 むよう 呼 びかけた 平 成 28 年 度 においても 引 き 続 き 所 管 法 人 等 の 職 員 に 対 する 研 修 や CYDER 等 への 職 員 の 参 加 を 実 施 するともに 厚 労 省 の 情 報 セキュリティポリシーや 教 育 訓 練 の 内 容 等 について 連 絡 会 議 等 の 場 で 周 知 を 図 ることとしている また 今 後 は 各 所 管 法 人 等 において ポリシー 等 に 基 づく 情 報 セキュリティ 対 策 や 教 育 訓 練 等 の 継 続 的 な 取 組 が 適 切 に 実 施 されているか PDCAの 観 点 から 定 期 的 に 確 認 し 実 効 性 を 担 保 していくことが 必 要 である こうした 観 点 から 所 管 法 人 等 において 自 己 点 検 及 び 第 三 者 による 情 報 セキュリティ 監 査 が 実 施 されるよう 徹 底 を 図 るとともに 厚 労 省 が 所 管 法 人 等 に 対 して 情 報 セキュリティ 監 査 を 実 施 する 予 定 である (2) 機 構 における 取 組 情 報 流 出 事 案 以 前 においては 機 構 では 機 構 ポリシーなど 情 報 セキュリティに 関 する 諸 規 程 や 各 役 職 員 の 具 体 的 な 役 割 や 取 るべき 具 体 的 な 対 応 などについて 十 分 な 研 修 等 を 行 っていなかった また 研 修 テーマや 研 修 内 容 などを 担 当 者 レベルで 決 定 し ていた これは 組 織 として 情 報 セキュリティに 係 る 教 育 訓 練 の 重 要 性 についての 認 識 が 十 分 ではなく 定 期 的 継 続 的 な 研 修 の 取 組 が 不 十 分 であったことによるもの である 17
こうした 反 省 を 踏 まえ 機 構 においては 機 構 ポリシーに 統 括 情 報 セキュリティ 責 任 者 が 役 職 員 の 役 割 に 応 じた 教 育 内 容 等 を 整 備 することを 引 き 続 き 明 示 するとともに 全 ての 役 職 員 が 計 画 的 に 必 要 な 教 育 訓 練 を 受 けることができるよう 教 育 実 施 計 画 を 立 案 し その 実 施 体 制 を 整 備 することを 盛 り 込 んだ また 機 構 ポリシー 及 びインシデント 対 処 手 順 書 等 で 役 職 員 の 役 割 責 任 権 限 を 明 確 化 し 改 正 された 機 構 ポリシー 等 に 基 づいた 研 修 訓 練 を 実 施 した 上 で 研 修 訓 練 内 容 が 業 務 に 反 映 されているかを 自 主 点 検 及 び 内 部 監 査 でチェックすることとし た さらに 情 報 セキュリティインシデントの 発 生 に 際 して 迅 速 かつ 適 切 に 対 応 でき るよう 実 際 のインシデントを 想 定 した 実 践 的 な 情 報 セキュリティ 対 策 の 訓 練 ( 厚 労 省 の 担 当 部 署 等 との 連 携 も 含 む )を 定 期 的 継 続 的 に 実 施 するとともに 機 構 CSIRT の 対 応 能 力 を 向 上 させるため 各 府 省 等 が 開 催 する 情 報 セキュリティ 研 修 への 参 加 を 含 め 情 報 セキュリティに 係 る 専 門 知 識 の 習 得 にも 努 めているところである 平 成 27 年 度 の 具 体 的 な 取 組 として 全 役 職 員 の 危 機 意 識 の 向 上 のための 研 修 として 全 役 職 員 に 対 し 標 的 型 攻 撃 に 関 する 攻 撃 者 の 手 口 と 対 処 方 法 等 を 追 加 したテキスト による 情 報 セキュリティ 研 修 を 平 成 27 年 6 月 末 までに 実 施 した 平 成 27 年 9 月 15 日 には 本 部 の 幹 部 職 員 に 対 して リスク 管 理 や 危 機 管 理 の 在 り 方 などのセキュリティ マネジメントに 係 る 情 報 セキュリティ 研 修 を 実 施 した また 情 報 管 理 対 策 室 職 員 が 平 成 27 年 10 月 6 日 には 厚 労 省 及 びNISC 共 催 の 法 人 等 理 事 及 び 所 管 課 室 長 対 象 の NISC のセミナー に 同 年 11 月 20 日 には NISC 主 催 の 第 2 回 情 報 セキュリティ 勉 強 会 ( 情 報 セキュリティ 監 査 ) に 参 加 した この 他 平 成 28 年 1 月 7 日 には 本 部 各 部 門 の 職 員 が 厚 労 省 主 催 の 情 報 セキュリ ティ 研 修 に 参 加 した さらに 平 成 28 年 3 月 には 機 構 ポリシーの 改 正 及 び 関 連 諸 規 程 の 制 定 内 容 の 周 知 徹 底 を 図 るために 機 構 ポリシー 等 の 改 正 内 容 を 分 かり 易 くまとめた 手 引 きを 作 成 し て 全 拠 点 ごとに 集 合 研 修 を 実 施 した これらの 各 種 研 修 により 平 成 27 年 度 は 全 役 職 員 に 対 して1 回 以 上 の 研 修 を 実 施 し ており 平 成 28 年 1 月 に 実 施 した 自 己 点 検 においては 個 人 情 報 の 無 断 持 ち 出 しの 禁 止 やパスワードの 厳 格 な 管 理 といった 個 人 情 報 保 護 や 情 報 セキュリティに 係 る 項 目 に ついて ほぼ 問 題 ないことが 確 認 できた また 機 構 CSIRTに 属 する 職 員 のインシデント 対 応 能 力 向 上 のための 研 修 等 として 情 報 管 理 対 策 室 職 員 が 平 成 27 年 10 月 に 総 務 省 主 催 の 研 修 (CYDER)に 同 年 11 月 には WASForum 主 催 ( 内 閣 府 共 催 )の 情 報 セキュリティ 演 習 に 参 加 するとともに 機 構 内 での 取 組 として 機 構 CSIRT 要 員 に 対 して 情 報 セキュリティインシデント 対 応 の 取 組 をリードできる 人 員 の 養 成 を 目 的 とした CSIRT 研 修 ( 全 4 回 )を 実 施 した さらに 平 成 28 年 3 月 24 日 には 今 回 制 定 したインシデント 対 処 手 順 書 に 係 る 実 効 性 及 び 機 構 内 関 係 部 署 や 関 係 機 関 ( 厚 労 省 含 む)との 連 絡 報 告 体 制 に 係 る 即 応 性 18
を 確 認 することを 目 的 として 情 報 セキュリティインシデント 対 処 訓 練 を 実 施 した 平 成 28 年 度 においては 機 構 ポリシー 等 の 理 解 度 テストの 結 果 を 踏 まえて 研 修 内 容 を 見 直 した 上 で 機 構 全 職 員 に 対 し 機 構 ポリシーや 関 連 諸 規 程 の 周 知 徹 底 を 行 う 研 修 を 実 施 する 予 定 である また 全 職 員 を 対 象 に 情 報 セキュリティインシデント( 標 的 型 メール 攻 撃 等 )の 訓 練 ( 年 2 回 )を 実 施 し 現 場 でのセキュリティインシデント 対 処 手 順 を 体 得 させる 予 定 であるほか 平 成 27 年 度 に 受 講 した 各 府 省 等 が 開 催 した 研 修 への 受 講 を 継 続 する 予 定 としている 19
( 別 添 1) 情 報 セキュリティ 強 化 等 に 向 けた 組 織 業 務 改 革 日 本 年 金 機 構 への 不 正 アクセスによる 情 報 流 出 事 案 を 踏 まえて 平 成 27 年 9 月 18 日 厚 生 労 働 省
目 次 第 1 日 本 年 金 機 構 における 情 報 流 出 事 案 に 関 する 総 括 <はじめに> < 今 回 の 事 案 についての 主 な 反 省 点 > 1. 情 報 セキュリティの 重 要 性 に 関 する 意 識 の 欠 如 2. 組 織 的 な 危 機 管 理 対 応 の 欠 如 3. 組 織 横 断 的 有 機 的 な 連 携 の 欠 如 < 再 発 防 止 に 向 けた 基 本 的 考 え 方 > 第 2 今 回 の 事 案 を 踏 まえた 再 発 防 止 策 1. 厚 生 労 働 省 における 情 報 セキュリティ 対 策 の 強 化 (1) 組 織 的 対 策 ( 体 制 強 化 情 報 共 有 ) 1 情 報 セキュリティ 対 策 室 ( 仮 称 )の 設 置 2 CISO CSIRT 体 制 の 見 直 しについて (2) 人 的 対 策 ( 意 識 改 革 人 材 育 成 ) 1 職 員 の 意 識 改 革 2 マネジメント 面 の 意 識 改 革 3 実 践 的 な 訓 練 の 実 施 4 専 門 人 材 の 確 保 5 教 訓 や 知 識 の 蓄 積 と 継 続 性 の 確 保 (3) 業 務 運 営 対 策 (ルールの 見 直 し 徹 底 ) 1 報 告 及 び 連 絡 体 制 の 確 立 責 任 の 明 確 化 2 保 有 する 情 報 を 適 切 にリスク 評 価 した 上 での 情 報 管 理 の 徹 底 (4) 技 術 的 対 策 ( 情 報 システムの 強 化 ) 1 高 度 な 標 的 型 攻 撃 を 想 定 した 入 口 内 部 出 口 のセキュリティの 強 化 2 情 報 セキュリティの 運 用 設 計 の 見 直 しと 改 善 3 調 達 時 の 契 約 内 容 の 見 直 し 2. 厚 生 労 働 省 と 機 構 の 関 係 の 強 化 (1) 厚 生 労 働 省 の 機 構 に 対 する 指 導 監 督 の 強 化 1 システムに 対 する 監 督 部 署 の 明 確 化 2 モニタリング 機 能 の 強 化 3 業 務 運 営 上 定 める 内 規 等 の 共 有 のルール 化 4 報 告 連 絡 の 徹 底 5 情 報 共 有 の 徹 底 6 年 金 局 と 機 構 の 連 携 の 強 化 (2) 年 金 局 の 体 制 強 化 3. 厚 生 労 働 省 所 管 法 人 等 に 対 する 監 督 と 情 報 セキュリティ 対 策 の 強 化 (1) 教 育 訓 練 の 実 施 (2) 報 告 連 絡 体 制 の 確 保 (3) リスク 評 価 を 踏 まえた 情 報 管 理 の 徹 底 と 監 査 ( 助 言 )の 実 施
第 1 日 本 年 金 機 構 における 情 報 流 出 事 案 に 関 する 総 括 <はじめに> 本 年 5 月 の 日 本 年 金 機 構 ( 以 下 機 構 という )における 情 報 流 出 事 案 は まれにみる 組 織 的 かつ 執 拗 な( 標 的 型 ) 攻 撃 ( 日 本 年 金 機 構 における 不 正 アクセスによる 情 報 流 出 事 案 検 証 委 員 会 ( 以 下 検 証 委 員 会 という ) 検 証 報 告 書 )が 原 因 であるとはいえ これに 対 する 備 えは 機 構 のみならず 厚 生 労 働 省 においても 極 めて 脆 弱 であ ったことを 率 直 に 認 めざるを 得 ません 国 民 の 共 同 連 帯 の 理 念 に 基 づ き 国 民 の 信 頼 を 基 礎 として 実 施 されるべき 政 府 管 掌 年 金 事 業 において 約 125 万 件 もの 個 人 情 報 が 流 出 したことは 国 民 の 年 金 制 度 に 対 する 信 頼 を 損 なうものであり 極 めて 遺 憾 です 年 金 事 業 運 営 を 所 管 する 厚 生 労 働 省 として 深 くお 詫 び 申 し 上 げま す 今 回 の 事 案 については 公 表 後 直 ちに 元 最 高 裁 判 所 判 事 の 甲 斐 中 辰 夫 氏 を 委 員 長 とし 外 部 有 識 者 で 構 成 される 独 立 性 の 高 い 検 証 委 員 会 を 厚 生 労 働 省 に 設 置 しました 検 証 委 員 会 では 機 構 及 び 厚 生 労 働 省 の 組 織 並 びに 初 動 及 び 事 後 の 対 応 について 第 三 者 的 な 立 場 から 検 証 し 原 因 の 究 明 を 行 うとともに 効 果 的 な 再 発 防 止 策 について 検 討 していた だき 8 月 21 日 に 検 証 報 告 書 が 厚 生 労 働 大 臣 に 対 して 手 渡 され 数 々 の 厳 しいご 指 摘 を 頂 きました また 機 構 においても 自 ら 調 査 を 行 い 今 回 の 情 報 流 出 という 結 果 をもたらした 原 因 について 組 織 の 在 り 方 に 遡 って 徹 底 的 に 検 証 し 再 発 防 止 策 を 含 む 調 査 結 果 報 告 を 8 月 20 日 に 公 表 したところです さらに 政 府 全 体 の 情 報 セキュリティに 関 する 政 策 及 び 事 案 対 応 の 司 令 塔 を 担 うサイバーセキュリティ 戦 略 本 部 ( 以 下 戦 略 本 部 とい う )においても 20 日 原 因 究 明 調 査 結 果 が 公 表 されるとともに 政 府 全 体 のサイバーセキュリティ 体 制 の 抜 本 強 化 を 図 るサイバーセキ ュリティ 戦 略 が 9 月 4 日 に 閣 議 決 定 されました その 上 で 9 月 11 日 には 戦 略 本 部 の 本 部 長 である 官 房 長 官 から 厚 生 労 働 大 臣 に 対 して 本 事 案 を 踏 まえた 再 発 防 止 策 についての 勧 告 が なされました 本 事 案 の 事 実 関 係 については これらの 報 告 書 等 に 記 述 されている とおりであり また 本 事 案 の 根 本 原 因 として 1 厚 生 労 働 省 機 構 と 1
もに 標 的 型 攻 撃 の 危 険 性 に 対 する 意 識 が 極 めて 不 足 しており 事 前 の 人 的 体 制 と 技 術 的 な 対 応 も 全 く 不 十 分 であったこと 2インシデント 発 生 後 においては 現 場 と 幹 部 の 間 関 連 する 組 織 間 に 情 報 や 危 機 感 の 共 有 がなく 組 織 が 一 体 として 危 機 を 克 服 する 万 全 の 体 制 になって おらず その 結 果 数 少 ない 組 織 内 の 専 門 知 識 を 持 つ 者 の 動 員 すらで きず 担 当 者 が 幹 部 の 明 確 な 指 揮 を 受 けることもないままに 場 当 た り 的 な 対 応 に 終 始 し 迅 速 かつ 的 確 な 対 処 ができなかったことが 指 摘 されています 厚 生 労 働 省 は こうした 指 摘 ( 報 告 書 等 の 具 体 的 な 指 摘 事 項 につい ては 別 紙 参 照 )を 当 事 者 として 真 摯 に 受 け 止 め 今 回 の 事 案 を 以 下 の 通 り 総 括 し 国 民 の 信 頼 を 回 復 するため 後 述 する 再 発 防 止 策 に 全 力 で 取 り 組 んでまいります また 検 証 委 員 会 の 検 証 報 告 書 が 同 委 員 会 への 情 報 提 供 の 遅 延 等 に 関 連 して 機 構 に 対 して 強 く 促 している 徹 底 的 な 意 識 改 革 につい ては 厚 生 労 働 省 自 らに 対 しても 指 摘 されたものと 捉 え 同 様 に 行 っ ていかねばならないと 認 識 し 深 く 反 省 する 次 第 です < 今 回 の 事 案 についての 主 な 反 省 点 > 今 回 の 事 案 についての 厚 生 労 働 省 としての 主 な 反 省 点 は 以 下 の 三 点 と 考 えます 1. 情 報 セキュリティの 重 要 性 に 関 する 意 識 の 欠 如 厚 生 労 働 省 においては ほぼ 全 ての 職 員 がインターネットを 始 め とする 情 報 システムを 利 用 して 業 務 を 行 っていますが 厚 生 労 働 省 は 国 民 生 活 に 密 接 に 関 わる 行 政 を 担 当 しており 本 省 やハローワー クなどの 地 方 支 分 部 局 施 設 等 機 関 及 び 所 管 する 独 立 行 政 法 人 等 ( 以 下 厚 生 労 働 省 所 管 法 人 等 という )を 含 め 膨 大 な 個 人 情 報 や 機 微 な 情 報 を 扱 っています にもかかわらず これまで 情 報 セキュ リティ 対 策 の 重 要 性 に 関 する 意 識 は 省 全 体 として 希 薄 であり 情 報 セキュリティ 対 策 を 直 接 担 う 職 員 は 専 門 的 知 識 人 数 いずれの 面 でも 極 めて 不 足 しているなど 事 前 の 技 術 的 な 対 応 と 人 的 体 制 の 備 えがいずれも 不 十 分 でした また 情 報 システムや 情 報 セキュリテ ィに 関 する 機 能 が 情 報 政 策 担 当 参 事 官 室 ( 以 下 情 参 室 という ) 統 計 情 報 部 そして 厚 生 労 働 省 所 管 法 人 等 の 所 管 課 室 と 分 散 してい る 中 で 適 切 な 情 報 共 有 が 行 われませんでした 2
また CSIRT 体 制 も 即 応 性 及 び 専 門 性 は 十 分 ではなく 緊 急 即 応 チ ームという CSIRT の 本 来 の 機 能 からすれば 形 式 的 なものでした 機 構 についても 国 民 の 重 要 な 個 人 情 報 を 大 量 に 扱 う 組 織 であり ながら 長 期 間 にわたり 個 人 情 報 をインターネットの 影 響 下 でリス クに 晒 された 状 況 に 置 いていたなど 情 報 セキュリティに 関 する 意 識 が 極 めて 低 かったことが 指 摘 されていますが その 背 景 には 機 構 を 監 督 する 厚 生 労 働 省 自 身 の 長 きにわたっての 意 識 の 欠 如 があり これが 個 人 情 報 の 流 出 につながった 大 きな 要 因 と 考 えます 2. 組 織 的 な 危 機 管 理 対 応 の 欠 如 厚 生 労 働 省 では 1.に 記 載 したように 情 報 セキュリティの 重 要 性 に 関 する 意 識 が 欠 如 し 事 前 の 備 えが 不 十 分 な 中 で 事 案 の 発 生 後 事 案 が 収 束 してから 書 面 で 上 司 に 報 告 する 自 分 は 単 な る 窓 口 他 の 部 署 が 報 告 しているだろう といった 認 識 などか ら 職 員 間 上 司 と 部 下 の 間 あるいは 関 係 する 組 織 間 で 情 報 や 危 機 感 が 適 時 に 共 有 されず 組 織 が 一 体 として 危 機 に 当 たることがで きませんでした その 結 果 5 月 8 日 以 降 機 構 が 累 次 の 攻 撃 を 受 け セキュリティソフトの 更 新 や 拠 点 ごとのインターネットの 遮 断 警 察 への 相 談 などを 行 っている 最 中 に 厚 生 労 働 省 は 一 部 の 担 当 者 を 除 き まったく 事 態 の 進 行 を 把 握 できず 漫 然 と 犯 行 を 許 すという 国 民 生 活 のセーフティネットを 担 う 官 庁 としてはあってはならない 状 況 を 数 週 間 にわたって 続 けることとなりました 厚 生 労 働 省 は ひと くらし しごと という 一 人 ひとりの 国 民 の 生 命 健 康 生 活 に 密 接 に 関 わる 行 政 を 担 当 しています 情 報 セ キュリティに 限 らず 何 か 問 題 が 生 じた 場 合 には 組 織 として 情 報 を 必 要 な 関 係 者 間 で 適 時 的 確 に 共 有 し 迅 速 に 対 応 していかなけ ればなりません 過 去 の 薬 害 事 件 などにおいても 厚 生 労 働 省 が 被 害 の 発 生 や 拡 大 を 防 止 できなかった 原 因 として 情 報 に 基 づく 迅 速 な 対 応 が 行 われなかったことが 指 摘 されています 悪 い 知 らせこ そ 早 く 報 告 する ことが 危 機 管 理 対 応 の 基 本 ですが こうした 基 本 的 な 対 応 ができず 今 回 のような 事 態 に 至 ったことについては 誠 に 恥 ずべきことであり 省 全 体 として 痛 切 に 反 省 しなければなりま せん このことは 決 して 担 当 者 レベルのみの 責 任 ではなく 危 機 に 際 し ては 途 中 の 状 況 であっても 悪 い 知 らせ が 速 やかに 組 織 の 上 3
層 部 に 届 き 上 司 がしっかり 受 け 止 め 率 先 して 対 応 に 当 たることが できる 職 場 環 境 が 醸 成 できていないという 意 味 において 厚 生 労 働 省 幹 部 に 責 任 があると 言 わざるを 得 ません また 情 報 セキュリティに 限 らず 一 たび 生 じれば 国 民 生 活 に 重 大 な 影 響 を 及 ぼす 可 能 性 のある 事 象 については 事 前 の 万 全 の 備 え が 重 要 ですが 今 回 の 事 案 が 発 生 するまで 業 務 運 営 におけるリスク の 所 在 や 評 価 等 について 組 織 的 に 把 握 認 識 されていませんでした このことを 踏 まえれば 自 らの 組 織 が 取 り 扱 っている 情 報 の 重 要 性 や 業 務 運 営 面 で 様 々に 生 じ 得 るリスクを 日 頃 から 正 しく 認 識 し どのような 事 象 に 関 してはどのような 意 思 決 定 メカニズムで 臨 み あるいは 権 限 を 特 定 部 署 等 に 集 中 してどう 備 えるべきかを 幹 部 から 現 場 職 員 一 人 ひとりに 至 るまで 組 織 として 事 前 に 的 確 に 定 め 共 有 し そのために 必 要 な 予 算 人 員 等 のリソースを 確 保 配 分 し ていくための 取 組 を 特 に 幹 部 職 員 を 中 心 に 行 っていく 必 要 があり ます 3. 組 織 横 断 的 有 機 的 な 連 携 の 欠 如 (1) 4 月 22 日 の 標 的 型 攻 撃 についての 厚 生 労 働 省 の 対 応 検 証 委 員 会 は 同 委 員 会 が 5 月 8 日 以 降 の 機 構 への 標 的 型 攻 撃 の 予 兆 と 指 摘 する 4 月 22 日 の 厚 生 労 働 省 への 標 的 型 攻 撃 につ いての 厚 生 労 働 省 の 対 応 に 関 し 2で 引 用 する 2 つの 問 題 を 指 摘 しています この 問 題 を 考 える 上 で 4 月 22 日 の 攻 撃 に 対 する 厚 生 労 働 省 の 対 応 について これまで 職 員 から 確 認 した 事 実 関 係 は 以 下 のと おりでした 1 厚 生 労 働 省 の 職 員 から 確 認 した 事 実 関 係 4 月 22 日 の 攻 撃 は 厚 生 労 働 省 ネットワークシステムに 対 する 攻 撃 であったため 統 計 情 報 部 の 担 当 者 は 所 属 長 まで 報 告 した 上 で 最 高 情 報 セキュリティ 責 任 者 (CISO)である 官 房 長 に 書 面 で 報 告 しました その 後 統 計 情 報 部 の 担 当 者 は 4 月 23 日 に 不 審 な 電 子 メ ール 情 報 として 省 内 全 職 員 に 対 し 攻 撃 してきた 送 信 者 の 電 子 メールアドレス 等 を 電 子 メールにより 注 意 喚 起 を 行 いました ま た 4 月 24 日 には 情 参 室 の 担 当 者 は 厚 生 労 働 省 所 管 法 人 等 4
を 所 管 している 部 局 の 担 当 者 には 電 子 メールにより 所 管 法 人 等 へ 注 意 喚 起 することを 依 頼 しました しかしながら 統 計 情 報 部 からの 官 房 長 への 報 告 は 概 要 等 を 書 面 で 届 けるにとどまり 攻 撃 の 事 実 等 について 官 房 長 と 認 識 を 共 有 したことの 確 認 を 怠 っていました また 本 件 に 関 して 情 参 室 からの 連 絡 内 容 は 定 型 的 な 内 容 に とどまっており 所 管 法 人 等 を 所 管 する 部 局 の 担 当 者 が 実 際 に 各 所 管 法 人 等 に 注 意 喚 起 を 行 ったかどうかについても 確 認 してお らず 年 金 局 も 機 構 に 対 して 何 ら 注 意 喚 起 を 行 っていませんで した 以 上 のように 厚 生 労 働 省 の 関 係 課 室 では 担 当 者 に 十 分 な 危 機 意 識 がなかったのみならず 上 司 や 他 の 部 局 の 担 当 者 への 報 告 連 絡 に 当 たり その 内 容 が 相 手 に 確 実 に 伝 わったのか 理 解 され たのかを 確 認 しておらず 組 織 として 危 険 性 の 認 識 ができていま せんでした また 5 月 8 日 以 降 の 機 構 への 標 的 型 攻 撃 については 厚 生 労 働 省 の CISO に 5 月 28 日 まで 報 告 されていませんでした 厚 生 労 働 省 の 情 報 セキュリティインシデント 対 処 手 順 書 ( 以 下 対 処 手 順 書 という )では 厚 生 労 働 省 が 所 管 する 特 殊 法 人 ( 機 構 )において 発 生 した 情 報 セキュリティインシデント( 以 下 イ ンシデント という )は 特 殊 法 人 を 所 管 する 年 金 局 の 課 室 情 報 セキュリティ 責 任 者 ( 課 室 長 等 )を 経 由 して CISO 及 び 情 参 室 へ 報 告 することになっていましたが 担 当 者 から 課 室 長 等 への 報 告 が 行 われず CISO にも 報 告 されていませんでした 一 方 この 対 処 手 順 書 においては NISC からの 連 絡 を 受 けた 統 括 情 報 セキュリティ 責 任 者 ( 情 報 政 策 担 当 参 事 官 )は 受 け 付 け た 事 案 を 確 認 し 課 室 情 報 セキュリティ 責 任 者 ( 年 金 局 事 業 企 画 課 長 )に 必 要 な 連 絡 を 行 うこととされていましたが 情 参 室 から は 担 当 者 レベルでの 連 絡 は 行 われたものの 事 案 の 重 要 性 に 鑑 み た 迅 速 な 情 報 共 有 は 行 われていませんでした これらの 点 で 厚 生 労 働 省 セキュリティポリシー 等 に 沿 った 対 応 がなされていませんでした 2 検 証 委 員 会 の 指 摘 とそれに 対 する 厚 生 労 働 省 の 考 え 方 ア 4 月 22 日 の 段 階 でドメイン 単 位 で URL ブロックが 行 われなか 5
ったことについて 検 証 委 員 会 の 検 証 報 告 書 では 4 月 22 日 に 発 生 した 厚 生 労 働 省 に 対 する 標 的 型 攻 撃 は 5 月 8 日 以 降 に 発 生 した 機 構 に 対 する 標 的 型 攻 撃 と 手 口 が 類 似 しており 4 月 22 日 の 段 階 で 厚 生 労 働 省 統 合 ネットワークにおいてドメイン 単 位 で URL ブロックを 実 施 していれば 5 月 8 日 に 発 生 した 同 一 ドメインの C&C サーバ に 対 する 機 構 との 不 正 な 通 信 は 防 ぐことができた と 指 摘 してい ます 厚 生 労 働 省 は 5 月 8 日 段 階 で ドメイン 単 位 で URL ブロ ックを 実 施 していましたが 今 般 の 検 証 委 員 会 の 指 摘 を 踏 まえ 今 後 不 審 な 通 信 が 検 知 された 場 合 には 業 務 への 影 響 やドメイン の 種 類 等 も 勘 案 しつつドメイン 単 位 でのブロックを 基 本 とする ことを 厚 生 労 働 省 セキュリティポリシーや 対 処 手 順 書 において 明 確 にします なお 5 月 8 日 にドメイン 単 位 で URL ブロックを 実 施 した 結 果 5 月 18 日 の 機 構 に 対 する 標 的 型 メールにより 感 染 した 3 台 の 端 末 からの 不 正 な 通 信 はいずれも 失 敗 しており これは 対 策 が 功 を 奏 したともいえます 一 方 厚 生 労 働 省 統 合 ネットワークにおいては ブロックした 不 正 な 通 信 先 を 継 続 的 に 監 視 していなかったため それ 以 上 の 対 応 をとれませんでした 仮 に 既 にブロックした 不 正 な 通 信 先 へ 通 信 を 行 おうとする 端 末 があるか 否 かを 継 続 的 に 監 視 していれ ば 他 にも 感 染 した 端 末 があることを 不 正 な 通 信 を 行 った 時 点 で 発 見 することができ 機 構 などに 注 意 喚 起 を 行 う 機 会 があった と 考 えられます この 点 についても 厚 生 労 働 省 セキュリティポリシーや 対 処 手 順 書 において 改 善 します イ 厚 生 労 働 省 から 機 構 に 対 する 情 報 共 有 が 行 われなかったこと について さらに 重 要 な 問 題 は 5 月 8 日 以 降 の 機 構 に 対 する 標 的 型 攻 撃 と 類 似 の 手 口 による 4 月 22 日 の 厚 生 労 働 省 に 対 する 標 的 型 攻 撃 について 5 月 8 日 の 段 階 で 厚 生 労 働 省 から 機 構 に 対 して 何 ら 情 報 提 供 が 行 われず このため 機 構 においても 同 日 の 攻 撃 6
が 厚 生 労 働 省 やその 関 係 機 関 を 狙 った 一 連 の 標 的 型 攻 撃 である との 着 想 に 至 らなかった との 指 摘 です 1に 記 載 したとおり 5 月 8 日 の 事 案 では 省 内 幹 部 にも 情 報 共 有 が 行 われず 省 全 体 として 適 時 適 切 な 対 応 ができませんで した 情 報 共 有 が 適 切 になされていれば 厚 生 労 働 省 内 において も 機 構 においても 4 月 22 日 の 攻 撃 との 共 通 性 も 含 め 5 月 8 日 の 攻 撃 に 関 する 危 機 意 識 が 醸 成 され その 後 の 対 応 が 異 なるも のとなった 可 能 性 があったという 意 味 において この 時 点 での 厚 生 労 働 省 の 対 応 は 大 きな 反 省 点 と 考 えます さらにいえば インターネットの 普 及 により 日 頃 の 情 報 共 有 は 素 早 く かつ 幅 広 に 情 報 が 共 有 できる 電 子 メールによって 行 うことが 一 般 的 になっています しかし 本 来 伝 える 情 報 の 重 要 性 や 質 を 考 慮 した 上 で 適 切 にコミュニケーション 手 段 を 選 択 併 用 すべきものであり 重 大 な 事 案 や 相 手 に 行 動 を 起 こして もらう 必 要 がある 内 容 の 連 絡 は 電 子 メールでの 連 絡 や 書 面 での 投 げ 込 みとともに 電 話 や 対 面 で 直 接 伝 え また その 結 果 を 確 認 するなどの 対 応 が 求 められます このような 行 政 に 携 わる 者 として 基 本 的 な 動 作 が 日 頃 からできていなかった 点 も 大 きな 反 省 点 と 考 えます また 厚 生 労 働 省 内 の 各 組 織 の 権 限 や 各 職 員 の 役 割 をあらかじ めできる 限 り 明 確 にしておくことはもちろん 重 要 ですが 事 前 に 定 められた 仕 事 を 確 実 に 遂 行 するにとどまらず 一 歩 進 んで 国 民 の 立 場 に 立 って 相 互 の 意 思 疎 通 や 組 織 横 断 的 有 機 的 な 連 携 を 図 り 厚 生 労 働 省 の 組 織 全 体 として 一 丸 となって 対 応 してい くことが 重 要 ですが 今 回 の 事 案 ではそのような 対 応 ができてい ませんでした このため 改 めて 日 頃 から 組 織 として 職 員 に 対 し 報 告 連 絡 の 仕 方 など 基 本 的 な 動 作 についての 指 導 を 徹 底 するとともに 各 組 織 の 在 り 方 についても 厚 生 労 働 行 政 の 課 題 や 取 り 巻 く 環 境 の 変 化 に 応 じて 速 やかに 見 直 します (2) 厚 生 労 働 省 と 機 構 の 関 係 厚 生 労 働 省 と 機 構 の 間 でも 事 案 の 発 生 後 の 対 応 について 情 報 共 有 が 担 当 者 レベルにとどまり 幹 部 レベルの 情 報 共 有 監 督 指 示 などが 事 案 発 生 から 17 日 後 の 5 月 25 日 の 遅 きに 失 するタイ 7
ミングに 至 るまで 行 われないという あってはならない 事 態 が 生 じました そもそも 個 人 情 報 の 取 扱 に 関 する 日 常 業 務 の 実 態 につ いても 機 構 を 指 導 監 督 する 年 金 局 の 幹 部 を 始 め 情 報 認 識 の 共 有 は 全 く 十 分 ではありませんでした また 機 構 の 業 務 における 個 人 情 報 の 取 扱 環 境 やパスワード 設 定 等 のルールの 遵 守 状 況 について 年 金 局 も 事 案 が 発 生 してから 問 題 を 把 握 する 状 況 でした 6 月 1 日 に 本 事 案 を 公 表 した 以 降 も 機 構 が 5 月 29 日 に 統 合 ネットワークを 通 じたインターネットへの 接 続 を 遮 断 した 後 も 独 自 の 電 子 メール 送 受 信 専 用 外 部 回 線 の 遮 断 を 行 っていなかったこ と また 個 人 情 報 が 流 出 した 方 に 対 して 流 出 は 確 認 されてい ない と 誤 って 説 明 したことが 機 構 において 判 明 した 際 にも 機 構 独 自 の 対 応 にとどめてしまい 報 道 されるまで 厚 生 労 働 省 に 報 告 していなかったことなど 厚 生 労 働 省 と 機 構 との 間 で 重 大 な 情 報 が 共 有 されていないという やはりあってはならない 事 態 も 生 じました さらに 検 証 委 員 会 からは 機 構 LAN システムの 担 当 部 署 が 厚 生 労 働 省 内 部 で 不 明 確 であった 点 について 監 督 官 庁 としてあ り 得 ないこと との 厳 しい 指 摘 がありました 機 構 は 様 々な 問 題 があった 社 会 保 険 庁 を 廃 止 し 新 たに 非 公 務 員 型 の 公 法 人 を 設 けて 公 的 年 金 に 関 する 業 務 を 行 わせることで 提 供 するサービスの 質 の 向 上 と 業 務 運 営 の 効 率 化 を 実 現 すること を 目 的 として 創 設 されましたが その 前 提 は 厚 生 労 働 大 臣 の 監 督 の 下 に 厚 生 労 働 大 臣 と 機 構 の 密 接 な 連 携 が 確 保 されることで した 機 構 創 設 の 原 点 に 立 ち 返 り 政 府 管 掌 年 金 事 業 の 適 正 な 運 営 は 厚 生 労 働 省 と 機 構 が 車 の 両 輪 となって 共 に 担 う との 考 え 方 を 再 確 認 し 厚 生 労 働 省 による 機 構 の 監 督 や 機 構 との 連 携 の 在 り 方 について ゼロベースで 点 検 し 再 構 築 していきます < 再 発 防 止 に 向 けた 基 本 的 考 え 方 > 厚 生 労 働 省 としては 以 上 の 反 省 点 を 踏 まえ 今 回 のような 事 態 を 二 度 と 引 き 起 こすことがないよう 年 金 局 や 機 構 だけではなく 厚 生 労 働 省 所 管 法 人 等 も 含 めた 厚 生 労 働 行 政 全 体 について ガバナンスの 強 化 組 織 内 組 織 間 連 携 の 強 化 リスク 認 識 の 強 化 に 努 めていきま すが 今 回 の 事 案 に 照 らし 特 に 情 報 セキュリティ 対 策 の 観 点 から 8
強 化 を 図 ります 今 回 の 事 案 の 標 的 型 攻 撃 は 次 々と 手 口 を 変 えて 攻 撃 を 継 続 する 極 めて 執 拗 かつ 組 織 的 なものでしたが 情 報 技 術 は 今 後 もさらに 発 展 し サイバー 攻 撃 も 時 々 刻 々と 巧 妙 化 して 社 会 にとって 大 きな 脅 威 とな っていくと 予 想 されます 今 回 の 事 案 を 厚 生 労 働 行 政 に 従 事 する 全 ての 職 員 が 教 訓 として 記 憶 し 緊 張 感 を 持 って 各 種 対 策 について 不 断 に 取 り 組 んでまいります また 公 的 年 金 制 度 を 所 管 し 機 構 を 監 督 する 厚 生 労 働 省 と 公 的 年 金 制 度 の 執 行 を 担 う 機 構 が 車 の 両 輪 となって 年 金 事 業 を 運 営 してい くべく 機 構 自 身 の 自 己 改 革 の 取 組 と 併 せ 厚 生 労 働 省 においても 機 構 との 密 接 な 連 携 を 実 現 するとともに 社 会 保 障 審 議 会 年 金 事 業 管 理 部 会 に 監 視 機 能 をこれまで 以 上 に 強 力 に 発 揮 していただきながら 機 構 の 今 回 の 情 報 流 出 のような 事 案 の 再 発 防 止 に 向 けた 取 組 を 強 化 す べく 自 らの 体 制 強 化 も 行 っていきます このため 情 報 セキュリティの 全 省 的 な 強 化 を 含 め 情 報 セキュ リティ 強 化 等 に 向 けた 組 織 業 務 改 革 推 進 本 部 ( 仮 称 ) を 設 置 し 以 下 のような 具 体 的 な 取 組 を 着 実 に 実 施 していきます 第 2 今 回 の 事 案 を 踏 まえた 再 発 防 止 策 検 証 委 員 会 や 戦 略 本 部 の 報 告 書 等 の 指 摘 や 同 本 部 長 の 勧 告 を 踏 まえ 厚 生 労 働 省 における 情 報 セキュリティ 対 策 については 1 組 織 的 2 人 的 3 業 務 運 営 4 技 術 的 な 観 点 から 以 下 の 再 発 防 止 策 に 取 り 組 みます また 年 金 局 の 体 制 を 充 実 させるとともに 機 構 の 報 告 書 等 に 掲 げ られた 再 発 防 止 策 が 着 実 に 進 むよう 機 構 に 対 し 指 導 監 督 を 行 っていき ます さらに 機 構 以 外 の 厚 生 労 働 省 所 管 法 人 等 に 対 する 監 督 指 導 や 情 報 セキュリティ 対 策 を 強 化 します 1. 厚 生 労 働 省 における 情 報 セキュリティ 対 策 の 強 化 (1) 組 織 的 対 策 ( 体 制 強 化 情 報 共 有 ) 平 成 26 年 7 月 情 報 政 策 の 企 画 立 案 部 門 を 集 約 するため 統 計 情 報 部 情 報 システム 課 の 一 部 と 政 策 統 括 官 ( 社 会 保 障 担 当 ) 付 情 報 政 策 担 当 参 事 官 が 統 合 されました 9
この 統 合 により 厚 生 労 働 省 の 情 報 セキュリティ 対 策 の 実 施 に 関 する 企 画 立 案 連 絡 調 整 対 策 の 推 進 や 情 報 セキュリティ 事 案 に 関 する 情 報 収 集 対 応 に 関 する 事 務 は 情 参 室 に 移 管 されました が 厚 生 労 働 省 の 情 報 システムの 整 備 及 び 管 理 に 関 する 事 務 の 一 部 は 移 管 されず 統 計 情 報 部 の 事 務 として 残 されました 結 果 と して 今 回 の 事 案 でも 円 滑 に 情 報 共 有 が 進 まなかった 原 因 となっ た 可 能 性 があります このため 来 年 度 に 向 けて 省 内 の 情 報 システムや 情 報 セキュ リティに 関 する 機 能 を 再 集 約 再 編 し 情 報 セキュリティ 対 策 に 関 する 司 令 塔 機 能 を 強 化 します こうした 機 能 の 見 直 しに 合 わせ た 新 たな 組 織 作 りを 検 討 するとともに 併 せて 各 原 局 との 分 担 連 携 の 在 り 方 についても 見 直 します それまでの 間 は 以 下 の 措 置 を 速 やかに 講 じます 1 情 報 セキュリティ 対 策 室 ( 仮 称 )の 設 置 省 内 の 情 報 政 策 の 企 画 立 案 調 整 連 絡 等 を 担 当 する 部 署 とし て 情 参 室 が 置 かれています このうち 情 報 セキュリティ 対 策 に 関 する 業 務 は 情 報 セキュリティ 対 策 係 が 担 当 しており 情 報 セ キュリティに 関 する 周 知 啓 発 厚 生 労 働 省 セキュリティポリシ ーの 整 備 等 の 他 内 閣 サイバーセキュリティセンター( 以 下 NISC という )との 連 絡 窓 口 となっています 人 員 体 制 は 室 長 補 佐 以 下 4 名 であり 他 の 業 務 も 兼 務 しているため 対 応 し なければならない 業 務 内 容 や 業 務 量 の 多 さに 鑑 みれば 専 門 的 知 識 や 職 員 数 の 面 からも 十 分 な 対 応 ができる 体 制 とはいえませ ん 今 回 の 事 案 では 情 報 システムの 整 備 管 理 担 当 者 と 情 報 セ キュリティ 担 当 者 の 間 の 情 報 の 共 有 が 円 滑 にできなかったため インシデント 対 応 を 含 む 情 報 セキュリティ 対 策 の 実 務 部 門 の 強 化 として 情 報 セキュリティ 対 策 室 ( 仮 称 )を 設 置 し 厚 生 労 働 省 セキュリティポリシー 等 のルールの 整 備 リスク 評 価 監 査 ( 助 言 ) 教 育 訓 練 やインシデント 発 生 時 の 連 絡 調 整 技 術 的 支 援 対 処 措 置 の 指 示 等 に 係 る 業 務 を 一 体 的 に 担 うこととします 特 に 省 内 各 部 局 厚 生 労 働 省 所 管 法 人 等 から 不 審 な 電 子 メ ールやサイバー 攻 撃 等 の 情 報 を 収 集 集 約 して 分 析 し 攻 撃 を 受 けた 個 別 の 部 署 単 位 では 伺 い 知 ることが 難 しいサイバー 攻 撃 10
相 互 の 関 連 性 攻 撃 の 全 体 像 や 受 けた 攻 撃 がどの 段 階 にあるの かを 把 握 予 測 することにより 次 の 攻 撃 を 想 定 した 警 戒 情 報 や 指 示 を 出 すなど 先 を 読 んだ 対 応 を 行 います 2 CISO CSIRT 体 制 の 見 直 しについて 厚 生 労 働 省 においては インシデントへの 対 処 体 制 として CSIRT 体 制 (インシデント 対 応 チーム)を 整 備 していました こ の 体 制 では インシデント 最 高 責 任 者 を 官 房 長 インシデント 統 括 責 任 者 を 情 報 政 策 担 当 参 事 官 インシデント 管 理 責 任 者 をイン シデント 担 当 部 局 の 総 括 課 長 とする 等 責 任 者 による 報 告 連 絡 のための 体 制 となっています しかし 今 回 の 事 案 では NISC との 窓 口 であるセキュリティ 対 策 係 から CSIRT が 機 能 するための 大 前 提 である 上 司 への 報 告 が 迅 速 に 行 われませんでした また 実 際 の 対 処 や 関 係 機 関 等 と の 調 整 に 当 たる 技 術 力 を 有 する 実 働 要 員 が 選 任 されておらず CSIRT 体 制 をより 実 効 性 のあるものとするための 見 直 しが 不 可 欠 です このため 即 応 性 の 向 上 権 限 の 強 化 ( 予 算 面 人 事 面 業 務 面 )の 観 点 から CISO を 官 房 長 から 厚 生 労 働 審 議 官 に 見 直 すと ともに CSIRT 体 制 についても CSIRT を 情 報 システムの 管 理 運 用 部 局 の 責 任 者 から 独 立 させ CSIRT 責 任 者 を 官 房 長 から 日 常 的 に 情 報 セキュリティや 情 報 政 策 を 担 当 している 情 報 政 策 政 策 評 価 審 議 官 に 見 直 し 即 応 性 と 専 門 性 を 向 上 させます また 新 たな CSIRT 体 制 では CSIRT 要 員 として 実 際 にイン シデントの 対 処 支 援 や 関 係 者 との 連 絡 調 整 に 従 事 する 補 佐 係 長 クラスの 職 員 ( 上 記 の 情 報 セキュリティ 対 策 室 ( 仮 称 )の 室 員 ) を 充 て 役 割 を 明 確 化 します 一 方 で 現 行 の CSIRT 体 制 及 び 厚 生 労 働 省 セキュリティポリシ ーにおける 情 報 連 絡 体 制 は 例 えば 各 部 局 の 局 長 審 議 官 は 役 割 が 規 定 されていないなど 通 常 業 務 の 情 報 共 有 意 思 決 定 ライ ンとは 別 ルートに 定 められています このことが 情 報 を 共 有 すべ き 者 を 不 明 確 にしたり 指 揮 系 統 の 二 元 化 による 迅 速 な 判 断 や 意 思 決 定 ができないことにならないよう 見 直 しに 際 しては 通 常 業 務 との 関 係 に 十 分 気 を 付 けます 11