大規模接種センター予約システムの脆弱性について

大規模接種センターの予約システムに朝日新聞出版と毎日新聞の記者が架空の接種券番号などで虚偽の予約をしたとして、防衛相が抗議した。

これに対して立憲民主党の枝野氏、福山氏などは、各メディア記者の行為を擁護し、防衛相を「システムの欠陥を指摘したメディアに『早い段階で気付かせてくれてありがとう』というのが本来の姿だ。意味不明な対応をしている」等と批判した。

筆者はセキュリティ管理の専門家として、この件に対して複数の観点から指摘させて頂く。

<サイバー攻撃は許されない行為>

まず、両社記者の行為だが、端的に申し上げて『サイバー攻撃』であり、違法行為である。誤って申し込めてしまった、とかではなく意図的にシステムの脆弱性を突こうとした行為である事。脆弱性を検出した結果を、システム運営当事者に通達せずに、記事にして公表した事も、所謂ハッカーがダークサイトに脆弱性を公表するのと同等の行為である。

そうやって考えると、防衛相の抗議は、実は甘く、訴えても少しもおかしくない事案なのである。国民に知らしめ、知る権利を守る為、政府の監視という正義の大義名分があれば何でも許されると考えるのは異常である。

そして、サイバー攻撃を是として容認し、防衛相の抗議を批判する国会議員が世の中に存在する事自体筆者には信じがたい事実である。政府を攻撃する事が絶対正義で、その為の手段は全て容認される事を貫く思考回路は、法治国家として決して許されない。

<システムの脆弱性はどこにある>

次に、この脆弱性の発生原因と対応策の方向性に関して考察したい。但し、筆者はシステム設計の全容を把握している訳ではないので、想像の部分が多分に含まれる事はご容赦願いたいが、大きな間違いは無いだろうと考えている。

まず、『早い段階で気付かせてくれて・・』というのは根本的な認識違いだろう。この脆弱性に関してシステム設計者は把握していただろうし、設計レビューで承認を受けている筈だ。このリスクに気付かないシステム設計者は世の中に存在しないと言っても過言ではない内容なのだ。

本リスクを受容した判断理由は、各方面からも既に発出されており、早期システム立ち上げ、防衛相への個人情報、個人データの提供を最小限に抑え様とした結果であり、地方自治体の分散システムに接続するには、スケジュール感もコスト感も現実的でなかったのだろう。それでも本脆弱性を看過するのではなく、何らかのリスク低減策は検討すべきだっただろう。

更に問題の主要因は、接種券番号の設計思想だと考えられる。クーポンの画像がネットに上がっているが、予想通り、見事にバラバラなのである。せめて、番号体系は国側の全体設計が必要なはずだが、その点の実態は不明であり、セキュリティ面の機密事項であろう。システム連携による照合が無く、誤入力や正統性・正確性を確認する為には、不充分であったと言わざるを得ない。

通常例えばクレジットカード番号の様に、不正入力や誤入力防止にはチェックでジットを番号に組み込む方法がある。また、ランダムに入力する不正に対応するには、飲料メーカーのべた付けキャンペーンで缶などに貼ってあるシールを剥がした際の番号の様に、確率的に不正入力を抑止する技術も存在する。その他にも多種多様の番号設計は存在し、それ程高度でもないのだが、残念ながら、省庁の壁を超え、トータルで考える全体最適設計思想と技術的工夫が不足していると言わざるを得ないだろう。

日本らしさというのだろうか、不正やいたずらの無い様に、良心に委ねる形でのアナウンスが為されている。実際の接種まで含めたリスク対応策は講じられているとはいえ、システムとして脆弱だとの誹りは免れないだろう。

<脆弱性対策の方向性>

では、対策の方向性はどう考えるべきか。デジタル担当大臣はデジタル庁設置による対策推進を語っているが、まさにその通りであろう。

まず、マイナンバーをキーとした接種情報管理を言う人が多いが、これは特定個人情報の取り扱いを知らない人の空論であろう。あくまでマイナンバーカードによるシステムへのログイン認証に留め、接種情報自体は個人番号と紐づけ可能な状態で発番した接種券番号で管理するべきだろう。そうしないと、影響が大きく、管理運用体制も不必要に莫大になってしまう。この点が、マイナンバーを必要以上にセキュリティ面の問題を語りたがり、システム実装上の現実に知見が無さすぎる証拠だろう。個人情報管理と特定個人情報管理を分けて考えるべきだからだ。

では何が対策の入り口かというと、省庁や自治体など含めて壁を越えた全体最適設計を可能とする機能であろう。正に、デジタル庁の真価が問われる部分だ。その上で、今回の脆弱性は古典的な番号設計に起因する部分も多分に含まれるが、もしその機能が無いなら補完する必要がある。

筆者の疑念事項が杞憂であれば、このチェックロジックを付け加えるだけで一定レベルのセキュリティ性向上は見込めるのだが、そうでなければ、次期システムまで本質的な改善は困難なので心配だ。

今後に向けての抜本策として、セキュリティの基本である『機密性』『完全性』『可用性』で設計する必要があるだろう。認証は、手っ取り早くマイナンバーカードによる認証であろう。これで不正アクセスは防げる。

そして、接種券番号をキーとするDB構築は細心の注意を要するだろう。接種予定と接種日時、副反応履歴情報などが全国一元管理できる様にしなければならないからだ。あくまで接種番号を主キーとして、個人を特定する属性情報は最小限にする、政府が閲覧できるのは匿名加工化した切り離された情報に限定するなど、様々な対応策の検討が必要だろう。そしてブロックチェーン等の技術利活用は必須である。

セキュリティの要点は『機密性』『完全性』『可用性』で語られるものであり、リスクとのバランスで検討しなければならない。

リスクとはゼロリスクで語った瞬間、全ての検討が無となってしまう。リスク対策とは、考えられるリスクを評価し、受容できないリスクに対して低減策を検討するものであるが、それでも低減でありゼロ化ではない。

殊更、感情的にゼロリスクを唱える風潮が未だ支配的だが、その事で寧ろリスクに向き合い対応策を講じる事を阻害してしまい、結果としてリスクが増大してしまうのだ。

心配だ、心配だと言い続けても、心配は解消されず、寧ろリスクが高まってしまう。その人間心理を政治利用して足を引っ張る行為は、国益を損なう結果に繋がる事を理解し、その様な行為に対して異議を唱え、合理的な範囲のリスクは納得する事も重要なのだ。