[記者手帳]予告されていたi-PINハッキング事態…脆弱なセキュリティーに打つ手なし
「ついに破られましたね」
公共アイピン(i-PIN/Internet Personal Identification Number:韓国のインターネット仮想住民登録番号)システムがハッキングされ、アイピン75万件が不正発行されたとする政府発表に対する市民団体の反応だ。一様に「初めから予想されていたこと」と口を揃えた。「民間アイピン・システムは安全だ」とする未来創造科学部の釈明についても「時間の問題」と一蹴する。
政府は今回の事故の原因をハッキングに一本化させようとしている。進歩ネットワークセンターをはじめとする市民団体は、住民登録番号の流出および盗用を防ぐためオンラインの本人確認手段をアイピンに変える政府方針が出された時から、「派出所を避けているうち警察署に出会った」ようなものと批判してきた。アイピン発行および管理過程で住民登録番号が蓄積され、より大きな災難がもたらされると憂慮し、流出した住民登録番号の変更許容とオンラインの本人確認手続き削除が代案だと指摘した。
情報化の最初の段階であり最も重要なのは「業務処理手続き再設計」(BPR)だ。情報技術の継ぎ足しに先立って情報化社会に合わせた業務方式を再設計しなければならない。この作業さえ正しく行えばオンライン本人確認手続きは存在しなくてもよくなる。例えばクレジットカードをプリペイドカードに変え、後払い制になっている移動通信料金の徴収方法を先払い制に変えれば、厳格な本人確認手続きは必要なくなる。人を詐称して得るものもなくなり、詐称にあっても被害が大きくないためだ。インターネット簡易決済が代表例だ。
だが、韓国政府は情報化効果の優先順位を情報技術(IT)市場の創出を通した産業育成に置き、「産業化は遅れたが情報化では先んじよう」と推進速度を強調した揚げ句、業務方式再設計の作業も正しく行わなかった。その結果、情報化後も業務方式は大きく変わらず、窓口などで顔を向き合わせて行った本人確認手続きも、そのままオンラインに移された。その代価はハッキングと情報人権侵害となって現れた。個人情報流出および盗用事態と今回のアイピン・システムのハッキングなどもそこへ含まれる。
専門家は公共アイピン・システムのハッキング事故の後始末とモノのインターネット(Internet of Things)やビッグデータ政策を展開する際に、こうしたことを肝に銘じねばならないと指摘する。仮にインターネット・セキュリティーの責任を負うなり実務を担当する人が、市民団体の忠告を軽視したり小言のように聞き流すのであれば、その人が身を置く政府機関や企業のセキュリティーはいつでもハッキングされる状態に置かれると言っていい。
ハッキングとセキュリティーの関係は矛と盾の関係にある。ハッキングはセキュリティー技術を高め、セキュリティーはハッキング技術を発展させる。また、社会に存在するセキュリティーシステムの中でハッキングされないものはない。時間と条件さえ満たされればすべて破られる。世界最高水準のセキュリティーと評価されるからこそ、ハッキングが社会的に大きな波紋を呼ぶものと予想される瞬間、ハッカーは狙いを定めいずれ破ってしまうものだ。
だが、政府はアイピン・システムのハッキング事故に対する対応策で相変らず“その場凌ぎのセキュリティー”を強調している。進歩ネットワークセンターと経済正義実践市民連合が相次いで声明を出し、業務方式の再設計を通じオンライン本人確認手続きを廃止させるのが最善策だと懇願しているが、なにも変わろうとしない。
韓国語原文入力:2015.03.09 20:31
