意識の高い公務員のブログ

政令市で働く地方公務員のブログ(出向は役所のみ)。自治体職員にも民間の経営感覚が必要とされています。

自治体の情報セキュリティへの力の入れ方がおかしい

2015年の5月に年金機構の情報流出があり大変騒がれました。

なぜ情報が流出したかというと、怪しいメールを開いて添付ファイルを開いた結果、ウイルスに感染したかららしい。

では、情報を流出させないためにはどうすれば良かったかというと、

①外部に接続できるパソコンに個人情報を入れない(個人情報にもアクセスできないようにする)

②メールを開かない

③添付ファイルを開かない

-------------------------------------

④怪しい通信がないか見張る

⑤見られたらまずいデータを暗号化する(外部に流出しても中身までは見られない)

挙げだしたらきりがないですね。①~③は一般従業員でもできる対処法です。①は厳しいかもしれませんが②、③は難しいことではありません。④と⑤は役所が委託しているセキュリティ関係の業者がやることです。部分的であれば⑤は一般従業員でもできます。

さて、コンピュータから情報が漏えいするとニュースでは大々的に取り上げられますが、実態として不正アクセスによる情報漏えいは少ないです。情報漏えいの原因は、大抵が

①管理の不備(USBに入れて持ち帰る、機密文書として処理したつもりができていなかった等)

②誤操作(間違った人にメールを送る、間違ったファイルを送る等)

なんですね。不正アクセスはセキュリティ業者が大抵、何とかしてくれているわけです。

じゃあこの①、②に対応するにはどうすればいいかというと、登録したUSBしか使えなくしたり、メールを送る前に確認画面を表示する等すればいいわけです。

 

一方、最近自治体の間でパソコンログインのための顔認証の導入が流行っているようです。ちょっと検索したら某S省が某N社の顔認証システムを評価したとかなんとか…。顔認証のことをこの記事で書くのは今が初めてです。じゃあ顔認証って何の役に立つの?というと、

①内部の人間による不正

②外部の人間による不正

を防ぎます。①に関しては例えばヒラ職員が管理職のパソコンを触ってデータを入手するとかです。②は、例えば業者が執務室内に入ってきたときに勝手に職員のパソコンを触らないようにできます。そんな状況あんの?

じゃあ今ってどんな風にパソコンにログインしているのかというと、調べたわけじゃないので不確かですが、IDカードを読み取らせてパスワードを入力するのが普通だと思います。これで十分じゃね?

 

ちなみに顔認証は「バイオメトリクス認証」の一種なのですが、一般的に言われているバイオメトリクス認証の問題点として、

①本人を他人と誤認する

②他人を本人と誤認する

③極端な話、本人の写真であっても本人だと誤認する

みたいなのが挙げられます。最近は研究も進んで精度が上がっているとは聞きますが、確実に正しく認識される保証は全くないです。

 

つーかそもそも顔認証が必要なのって、「AさんのパソコンをBさんが使えないようにするため」なんですけど、誰にも見られずにBさんがAさんのパソコンを使う状況ってなかなかないと思うんですよね…どんだけ閉鎖的な職場なんだよっていう。それって最早セキュリティ以前に別の問題がありそうな気もするような。あと極端な話災害で庁舎が崩壊して火事場泥棒がどさくさに紛れてログインしないように…というのも考えられますけど妄想レベルですね。そんな災害だったらパソコンは物理的に壊れてそう。

 

まぁ、不審なメールを開かないように情報セキュリティ意識を高めるんだったら、始業前と午後の業務開始前に、パソコンに「不審なメールを開かないようにしましょう」みたいなポップアップを出せばいいんじゃないでしょうか。コストも0なのでおススメですよ!(顔認証はウェブカメやソフト代、人件費などかかります)