プロジェクトオーガナイザの吉田聖書です。
3月5日に、総務省がプレスリリースを出しまして、昨年11月に数十万件もの個人情報を漏洩させたLINEヤフー株式会社に対して、行政指導を行ったと発表しました。
LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)(2024/3/5 総務省 総合通信基盤局)
具体的な指導内容は、通信の秘密の保護及びサイバーセキュリティの確保を図ることと、その施策の実施状況について報告を行うようにということです。それを受けてLINEヤフー側もプレスリリースを出しています。
当社に対する総務省からの行政指導について(2024/3/5 LINEヤフー株式会社)
総務省のプレスリリースには、実際にLINEヤフーに対して発出した文書が添付されていまして、具体的な行政指導の内容が記載されています。このセキュリティ事故の内容についてはこのブログでも採り上げましたので割愛しますが、その文書を読むと、「これは、電気通信事業法第4条第1項に規定する通信の秘密の漏洩であると認められる」と明記されており、このことからも事故の重大さが分かります。
続いて事故の要因が挙げられています。これは直接の原因というよりは、組織的な要因について言及されており、事故の背景に近い感じです。
この、LINEヤフー社周辺の会社は合併や分割を繰り返していて、親子関係が結構複雑なんですよね。すごく分かりづらくて、わざと複雑にしているんじゃないかと勘繰ってしまいます。
そういう経緯もあって、会社の関係が変わってもネットワーク構成が古いままで運用されていたようです。全く同じままかどうかまでは分かりませんけれども、少なくとも通常想定されるよりはかなり緩い状態だったということです。グループ会社では、よく親会社のドメインで子会社の従業員を認証するという構成を取ることがあると思います。それがLINEとヤフーの統合に伴ってうまく整理しきれていなかったのかもしれません。
元々LINE社は韓国ネイバー社の子会社でしたが、LINEヤフーに統合されて直接的な親子関係ではなくなったものの資本関係ではネイバーが上にいる形です。にも関わらず、社内のインフラ運用やセキュリティ対策をネイバーの子会社であるネイバークラウド社に業務委託しています。分かりやすく誇張して言えば、親会社に業務委託していたということになります。
これって健全な関係ではないと思うんですよ。業務委託をするということは委託元が委託先を管理することになりますが、その相手が親会社(少なくとも資本関係で上の会社)であれば不備を指摘できない、あるいは不備を指摘しても改善されないということが容易に想定できます。ガバナンスが効きにくい状態ですから、これではセキュリティが甘くて当然でしょう。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
文書の後半では指導事項について書かれています。大きく3つ、1つ目はセキュリティマネジメントを見直せということ。2つ目はLINEヤフーだけでなくグループ全体でセキュリティのガバナンスを見直せということ。そして3つ目は簡単に言うと、ユーザーのことを第一に考えて行動せよということです。
1つ目についてはさらに細かく3点指示がされていまして、1点目はネイバークラウド社とネットワークを切り離せということ。特に認証基盤ですよね。ドメインを別にするということが必要かと思います。2点目はそもそもセキュリティレベルを上げよということ。対策がザルだったし、モニタリングも不充分だったということが指摘されています。3点目は委託先をちゃんと管理せよということ。つまり、委託先の会社が適切に仕事をしているのかということを委託元の責任として管理しなさいということです。これは一般的な大企業であれば当たり前にやっているようなことを当たり前にやりなさいということでもあるかと思います。
もはや大企業だから、上場企業だから、有名だから安心・安全という時代ではなくなっているということですね。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。