いよいよマイナンバー制度が始まり企業や自治体は特定個人情報を取り扱うようになりましたが、怖いのは情報漏洩です。情報漏洩といえば2015年には日本年金機構による個人情報流出事件がありました。この事件において使用されたのは標的型メールで、その対策が急がれます。ここでいっそメール添付は禁止されるべきという新しい議論が出てきているようです。標的型メール対策について担当している方は是非チェックしてみてください。
日本年金機構の個人情報流出事件、原因は標的型メール!
日本年金機構からの125万件の個人情報流出は、公的機関では史上最大の流出事件となった。国民の大事な情報を預かる部門からの流出だけに、「管理がずさんすぎる」という怒りの声や、「セキュリティーが甘すぎる」という批判が出ている。
日本年金機構から125万件の年金情報が流出した問題で、標的型メールが複数の職員のメールアドレスあてに直接届いていたことが分かった。同機構のシステム統括部が回答した。攻撃された職員のメールアドレスには部署や入社年といった共通性はなかったという。最初の攻撃メールは5月8日に公開アドレスに届き、職員が開封、ウイルスに感染した。
標的型メールとは?特定企業や個人を対象に攻撃!
標的型メールとは、サイバー攻撃の一種で、攻撃や機密情報漏洩などを目的として、特定企業や個人と対象に送りつけられる電子メールのことである。標的型メールの特徴は、メールを送りつける当事者を特定し、差出人として実在の人物を装ったり、メールの件名や添付ファイルの内容を業務内容と関連したものにしたりと、受信者に特に関連したものに偽装されている点である。メールの受信者が偽装に気付かずに添付ファイルを開いてしまうと、その中に組み込まれていた不正プログラムに感染活動する。
なぜそこまで個人情報を集める?それはお金になるから!
突然ですが、あなたは「自分の個人情報が漏れているかもしれない!?」と感じたことはありませんか?次の質問に該当した場合は、おそらく個人情報は漏れていると思った方が良いですね。行ったことのないショップから、自宅にダイレクトメールが届いた
20歳が近づいたころに、呉服屋からセールスの電話やDMがたくさん来る
不動産やゴルフ会員権などの勧誘電話が、会社にかかってくるこのような経験をした方の個人情報は、既に漏れていると思って良いでしょう! なぜ、漏れるのか?それは、個人情報がお金になるからなのです。
特定個人情報には安全管理措置が義務付けられています!
マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理 措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません。
政府ガイドラインにおける不正アクセス防止手法の例
情報システムを外部からの不正アクセス又は不正ソフトウェアから保 護する仕組みを導入し、適切に運用する。【手法の例示】
* 情報システムと外部ネットワークとの接続箇所に、ファイアウォー ル等を設置し、不正アクセスを遮断する。
* 情報システム及び機器にセキュリティ対策ソフトウェア等(ウィル ス対策ソフトウェア等)を導入する。
* 導入したセキュリティ対策ソフトウェア等により、入出力データに おける不正ソフトウェアの有無を確認する。
* 機器やソフトウェア等に標準装備されている自動更新機能等の活 用により、ソフトウェア等を最新状態とする。
いっそ添付メールは禁止すべき?
そうすると、佐々木さんが今展開している1つの手法があります。簡単にいうと、メール添付ファイルはまず禁止すべきだというものです。もともとインターネットは、ウェブサイトを見ることとメールを送受信すること、この2つが古典的な機能だったわけです。それがいよいよ、50年ぶりにメールにファイルを添付する行為を禁止するという、インターネットの歴史上、初めて別の手法を取ろうという主張を、佐々木さんはされていると見受けられます。私が感じている問題点は、メールで送った添付ファイルは取り戻せないということです。送信したメールはサーバに収まりますが、そこには手を出せません。うっかり間違えて送信しても、それを消すことは人間はもちろん、システム的にもできないのです。人間の操作ミスを想定していなかったところに決定的な欠陥があるわけです。
メール添付の代わりに使われるのはオンラインストレージ?
僕は、10年後には世の中の人が誰もメールの添付ファイルを使わなくなると思っています。オンラインストレージを使ったファイルのやり取りを実施しているケースはまだわずかですが、今後は必要に迫られてマーケットが巨大化する可能性があります。なぜかというと、インターネットの基本的な原理に触れているから。私はそう見ています。