先日、大阪市役所の職員が庁内システムに不正アクセスして、アクセス権限のない人事情報などを盗み見していたという事件がありました。

　産経新聞の報道によれば、

• 部署ごとに推測可能なID（部署コードかも？）が割り当てられていた。
• 初期パスワードは同一であった。
• 初期パスワードを変更するよう各部署に指示していたが、変更していない部署もあった。
• そこを突いて、他部署のIDと、変更されていない初期パスワードで不正アクセスした。

というものです。
※新聞記事は記者が正しく理解せずに書いていることも多いので、事実と異なる可能性があることはご承知ください。

　以前にこのブログの「初期パスワードの設定と運用」というエントリで、「リスクに気付かず同様の運用をしているところは多いのではないでしょうか。」とも書きました。それが市役所だったとは。

　「市は以前から、各部署に『初期設定からパスワードを違う文字列に変更するように』と指導していた。」と記事にありますが、同一の初期パスワードを設定したことが、そもそもの間違いです。改めるべきはシステム部門自身であり、初期パスワードはIDごとに変える必要があります。

　また、複数のIDの初期パスワードが同一だったら、他のIDでもログインできると誰かが気付いたとき、問題点としてシステム部門に指摘せず、悪用する人間がいるのも問題です。これは人的な教育が足りていないところです。

　「鍵をかけ忘れた家を見つけても、侵入して泥棒したらダメですよ、開けっ放しですよと住人に教えてあげましょうね」と教えるのもどうかと思いますが、「もし、不正にアクセスしても、アクセスログで簡単に発覚しますよ」と教育しておけば抑止力になるのです。

　このことは、「組織内部者の不正行為によるインシデント調査」(IPA, 2012年)でも示されています。社員に対するアンケート調査で、どんな対策がされていたら内部不正を思い留まるかを問うたところ、1位は「社内システムの操作の証拠が残る」(54.2%)、2位は「顧客情報などの重要な情報にアクセスした人が監視される」(37.5%)でした。

　情報セキュリティ、システム監査的には突っ込みどころが多すぎます。専門学校の来年の講義のネタにさせてもらおう、と思っています。