マイナンバー制度が開始されて数ヶ月立ちましたが、企業のマイナンバー対応と情報セキュリティ対策はどれくらい進んでいるのでしょうか。自社の進捗度合いを見極める参考になるので担当者の方はチェックしておきましょう。
企業や自治体へのサイバー攻撃が増加している!
via i2.wp.com
まずはサイバー犯罪の最近の傾向についてですが、最近(2009年頃から)ひとつの傾向が顕著になっています。その傾向とは、企業の大小や政府系機関を問わず、カスタマイズされた攻撃が目立つようになってきました。かつてのサイバー犯罪では、2000年5月と2001年7月に猛威をふるった「LOVE LETTER」や「CODE RED」などの様に、ひとつの強力なウイルスが世界各地に拡散されるパターンが一般的でした。これらいずれも、自己増殖を繰り返しながらシステムを破壊していく「ワーム」プログラムと呼ばれるもので、攻撃を受けてしまうと甚大な被害が避けられないものの、発見することは難しいものではなく、対策を立てやすかったです。
しかしながら近年のウイルスは、種類が多様化し、甚大な数にのぼるため、発見が難しく対策も立てにくくなってきました。
企業や自治体からの相談も多い某セキュリティ企業でも、2013年には特に改ざん被害が多く報告されているそうです。改ざんのパターンは主に「自己顕示型」と「誘導型」に大別され、前者は相手にメッセージをはっきりと分からせることを目的としているものです。尖閣問題をめぐり反日感情が高まったあと、「尖閣は中国の領土」などと書かれた画面が出現した改ざん被害がこのパターンに当てはまります。
近頃、増加傾向にあるのは後者です。あるサイトにアクセスすると、悪意を持ったハッカーが用意した別のサイトへ誘導されてしまいますが、「自己顕示型」とは違い、一見すると、画面に異常はみられないので、ユーザもWEBの管理会社も気付きにくいのです。正規のサイトが改ざんされ、リダイレクトするよう書き換えられるこのパターンは「GUMBLAR(ガンブラー)」とも呼ばれています。これは2009年に多発した、正規サイトへの改ざん攻撃と改ざんサイト閲覧者による不正プログラム感染被害に因む名称で、脆弱なサイトを狙った無差別攻撃は、当時「ガンブラー攻撃」と恐れられました。
企業に被害を与えるサイバー攻撃は年々増加しているだけではなく、巧妙で複雑になってきており、対策が重要になってきています。
企業はマイナンバーを含む特定個人情報の漏洩を防がなければいけません!
d 情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信 経路における情報漏えい等を防止するための措置を講ずる。
≪手法の例示≫
* 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考 えられる。
* 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策と しては、データの暗号化又はパスワードによる保護等が考えられる。
企業は特定個人情報を守らなければ最悪刑事罰もあり得るため、マイナンバー制度への対応にはサイバー攻撃への対策も含まれます。
企業IT利活用動向調査2016の速報が発表される!
日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は3月17日、国内企業672社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2016」の一部結果を速報として発表した。今回の調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、新たにスタートしたマイナンバー制度への対応状況などについて調査・分析している。
情報セキュリティへの認知度が増加!
via conlabo.jp
まず、今回の調査で注目されるのは、サイバー攻撃に関わる情報セキュリティ・インシデント認知の増加。この調査で定点観測している「過去1年間に経験した情報セキュリティ・インシデントの種類」の回答結果を見ると、特定組織に狙いを定めて重要情報の窃取などを図る「標的型のサイバー攻撃」を認知した企業の割合は、前年調査から1.8ポイント上昇して9.5%となった。また、サイバー攻撃のきっかけともなる「外部からのなりすましメールの受信」は、前年調査から3ポイント近くも増加して8.3%となった。これに伴い、標的型サイバー攻撃のリスクを経営上重視する企業も増加傾向にある。標的型サイバー攻撃について「最優先で対応が求められている」とした企業は23.7%に上り、直近3回の調査で最多に。「セキュリティ課題のなかでも優先度が高い状況である」(31.1%)と合わせれば、半数を超える約55%の企業が優先度の高い課題であるとしている。
企業の情報セキュリティに対する認知度は上昇傾向にあり、情報漏洩による被害について敏感になっている様子が伺えます。
マイナンバーへの対応は遅れ気味!
これに対してマイナンバーについては、対応を進める企業は増えているものの、対応を完了した企業はまだ少ない。情報システムの対応が「完了している」と回答した企業は前年から10ポイント以上増加し、「作業が進行中」とした企業も約15ポイント増えたが、完了の割合は30%強にすぎない。
原因は予算とリソースの不足!
マイナンバーへの対応が遅れている原因の多くは、IT人材や予算の不足にあるようだ。マイナンバー対応が「未完了」(作業が進行中、準備・検討中、対応予定だが未着手)と回答した企業の理由で最も多かったのは、「進行中」とした企業では「社内のIT人材リソースの不足」「準備・検討中」とした企業では「システム化予算の不足」「対応予定だが未着手」とした企業では「社内担当部門との調整不足」だった。
企業のセキュリティ意識は高まったものの費用負担が重荷!?
調査結果を受けて、ITRのシニア・アナリスト舘野真人は、「今回の調査結果では、外部からのサイバー攻撃のインシデントが拡大しており、国内企業にとって無視することのできない脅威となっていることが示されました。特に、差出人を偽るなりすましメールの認知件数はこの1年で急速に増加しており、電子メール環境の見直しは急務となっています。また、経営課題として重視する企業が増加したマイナンバー制度対応については、進展が見られた反面、人員、資金などの面で企業に少なからぬ負担を強いている実態も浮き彫りとなりました。そのため、全社的な情報セキュリティ強化という当初の目標に背を向け、マイナンバーの運用に特化したポイント・ソリューションの導入や外部委託の採用に踏み切る企業も増加しています。改正された個人情報保護法への対応とも合わせて、企業においては、社内の重要データを包括的に保護するためのプロセス、システムの整備に注力することが望まれます」と述べています。
一見高まったかに見える企業の情報セキュリティ意識ですが、実態は予算や人材の不足から外注して済ませているのが多くの企業の現状です。
調査の詳細については5月に発表!
本調査は、JIPDECからの依頼に基づき、JIPDECとITRが2016年1月22日から27日にかけて実施したものです。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約2,000名に対して回答を呼びかけ、672名の有効回答を得ました(1社1名)。
今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、個人情報保護法改正への対応など、広範にわたる調査を実施しています。調査結果の詳細は、JIPDECが2016年5月に発行予定の『JIPDEC IT-Report 2016 Spring』に掲載し、Web公開する予定です。
果たして自社のセキュリティ対策が他の企業と比べてどのくらい進んでいるのか、また今後どのようなセキュリティ体制を構築するのがよいのか見極めるためにも、5月に発表される詳細な報告についてもぜひチェックしておきましょう。