消費税が増税され、税負担感の高まる中で生じた総務省の18億円のセキュリティシステム「セキュアゾーン」の廃止はマスコミやネットから大きく叩かれることになりました。納税者として怒る気持ちもありますが、一方でセキュリティシステムの「あるある」話でもあり、評価に値する話だとも思っています。
今回は、この事件からセキュリティ投資の考え方について解説します。
まず、この事件の経緯について解説します。
2015年に日本年金機構において、標的型メール攻撃による情報流出事件がありました。
その反省をもとに、政府でも件のセキュリティシステムが構築されることになり、政府共通プラットフォーム内に情報管理システム「セキュアゾーン」が作られました。
形式上、日本年金機構のシステムと政府のシステムは関係はないはずですが、日本年金機構の管理については政府が責任を負うことになっています。
そのため、政府のシステムにも何かしらその反省を反映した対策が必要だと判断したのでしょう。
そのシステムには約18億円の予算が割り当てられ、2016年12月の入札ではそれと思われるシステムに関する調達費用が約20億円で落札されています。
そして、会計検査院の調べで2019年3月にこのシステムが廃止されていたことが判明し、ニュースなどで取り上げられました。
デスクでデータの閲覧はできても更新のためには専用端末まで移動しないといけないなど使い勝手が悪く、利用に関して負担金が発生する可能性があり、各省庁が利用を見合わせていたそうです。
また、維持費に年間3億6000万円ほどの費用がかかり、利用者もいないことから廃止が決定されました。
実は、上記の日本年金機構の問題があった後に、調査結果報告書の中でこのような内容があります。
<今後の機構システム全体のあり方>
○機構のシステム全体について、標的型メール攻撃を含め、想定し得るあらゆるインシデントに耐え得る強力な防御体制を整備する。○基幹システム及び個人情報等重要情報を扱うシステムについては、インターネット接続環境からの完全な遮断によって守ることとする。
○将来的なインターネット環境の構築にあたっては、「基幹システムはインターネット接続環境下に設置しないこと」はもとより、「個人情報を扱う業務の共有ファイルサーバは基幹システムの領域内に設置すること」及び「個人情報はインターネット接続環境下に置かないこと」を基本として、具体的には外部の情報セキュリティ専門家等ともよく相談しながら検討する。
(平成27年8月20日 日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告について」より引用)
読めばわかりますが、まさにこのシステムの要件そのものです。事件について反省するのはいいのですが、この内容を遵守したばっかりに高コストで使いにくいシステムになってしまいました。
総務省は「ニーズの把握が不十分だった」とコメントしていますが、こちらの内容をもとに話が進み、そもそもニーズの把握は行われていなかったことが疑われます。
どんな規模の案件でも、セキュリティシステムの導入では、現場との話し合いが不十分で失敗するケースは多いので注意しなければなりません。
突然ですが、読者の皆さんは、ラーメン屋さんで「全部乗せ」を食べたことがあるでしょうか?ラーメンの上に、チャーシューや煮玉子、海苔、野菜、キクラゲなどお店の自慢の具材でフルトッピングしてくれるメニューです。
ボリューム感あふれるビジュアルで、贅沢な雰囲気やお店の全力を楽しむことができます。
でも、この「全部乗せ」は大抵、食べにくいのです。具が多すぎて、ラーメンにたどり着けず、また好き嫌いを問わずにさまざまな具が乗っているので、食べながら「こんなに要らないなぁ」という気持ちになってきます。
贅沢なものほど終盤は麺が伸び、スープが冷め、ラーメンとしての美味しさは微妙になってしまい、価格ほどの満足感がありません。
セキュリティも同様です。セキュリティはあくまで付加価値であり、本来の製品やサービスを輝かせることが目的です。
セキュリティの全部乗せは、システムの使い勝手を大きく制限し、本来のサービスにおける目的達成を阻害し、サービス本体の価値を低下させます。
何のためにセキュリティに投資するのかよく考え、セキュリティありきの投資にならないように注意しなければなりません。
セキュリティ対策では、すべての攻撃に対して完全な防御を提供する方法はありません。そのため、想定される攻撃をもとに、必要最小限の防御策を重ねて防御します。
「スイスチーズモデル」という多層防御の理論が有名でイメージがわかりやすいので、興味のある人は一度検索してみるとよいでしょう。
私は投資に関する記事を書く機会も多いのですが、投資の観点から言えば今回のセキュリティシステム廃止は勇気のある「損切り」です。
「損切り」は損失を確定させ、それ以上の損を防ぐ行為ですが、18億円にもなると損失を確定させることにかなりの決断力が求められます。
ましてや国税を使ってのシステムの廃止は批判も覚悟しなければならず、ストレスフルな決断だったと思います。
その中で廃止を決め、毎年の3億6000万円を守ったことはもっと評価されてしかるべきです。システム構築に携わった人は避難されても仕方ないですが、この決定をした人はもっと胸を張ってほしいと思います。
実はこの例によらず、「この情報セキュリティシステムは不要なんじゃないか」と思っていても、万が一のトラブルに備えるために、言い訳のために、担当者の保身のために、損切りができていないセキュリティ投資は多いものです。
10年以上も前に設置したファイアウォールやVPNルータ、使用頻度の低い拠点間の専用回線、個人情報の格納のためだけに作られた専用ファイルサーバーなどさまざまなものが考えられます。これらの保守やリース料金・サービス利用料はそれなりのコストになるはずです。廃止や入れ替えでもっと良い状況が作れるものがたくさんあります。
多くのセキュリティ製品は攻撃の種類や件数を集計して提供してくれますので、データを参考にしながら本当に価値のある投資なのかを定期的に見直しましょう。セキュリティ投資は、投資によるリターンが見えにくいため、しっかりと効果を確認することが大切です。
損切りには勇気だけでなく、知識も必要です。廃止の際には、本当にムダなのか、また廃止するとどのようなリスクがあるのか、知識のある人とよく検討して行ってください。
総務省の「セキュアゾーン」は大きな予算をかけて作りましたが、ムダとの判断から廃止になりました。計画は残念でしたが、損切りが早かったことは評価すべきです。企業規模を問わず、セキュリティ投資のムダはよく見られますので、早めに評価して損切りや入れ替えを検討するようにしましょう。