ITproが姉妹サイトITpro ActiveとITpro Successの人気記事から現在IT担当者が抱えている関心事についてまとめた記事を掲載しました。ITpro Activeは企業内にITシステムを実装する際に必要とする情報について、ITpro Successは中小企業のIT化についての情報についてそれぞれ発信しているサイトです。現在企業担当者はマイナンバーのセキュリティ対策に高い関心を持っているようですが、大企業と中小企業で意識に差があります。
マイナンバー対策の記事が上位を占める!日本年金機構の情報漏洩事件の影響!?
ここ数カ月で読まれた記事の上位を占めるものは、圧倒的にマイナンバー対策に関するものだった。「マイナンバー制度、8つの誤解と4つの仕組み」など、マイナンバー制度の基礎から、リスク、IT対策、製品ソリューションの紹介に至るまで、長期間にわたって幅広く読まれている。経理・人事などシステムへの実装を急がなければならなかったこともあり、各企業がてんてこ舞いで情報収集にあたり、準備を進めた様子がうかがえる。関心の高さは、増加し続ける標的型攻撃への対応も関係している。特に昨年は、約125万件にも及ぶとされる日本年金機構の情報漏えい事故のインパクトが大きかった。ひとたび情報漏えい事故を起こすと、想像もしなかった大規模なものになる危険性がある。しかも、マイナンバーをはじめとする個人情報はどの企業でも少なからず保持する時代になったのだ。マイナンバーや標的型攻撃の増加をきっかけに真剣なセキュリティ武装を進める流れは、今年も間違いなく続くだろう。
システムだけでなく「人」と「組織」の強化が重要?
管理のずさんさが問題となった日本年金機構の情報漏洩
日本年金機構から125万件の個人情報が流出した事件に関しては、問題点がいくつかある。ウイルス感染が原因だが、それ以上に感染がわかってからの対応が遅すぎた。日本年金機構は3度も判断ミスをして、情報流出を拡大させている。(ITジャーナリスト・三上洋)日本年金機構からの125万件の個人情報流出は、公的機関では史上最大の流出事件となった。国民の大事な情報を預かる部門からの流出だけに、「管理がずさんすぎる」という怒りの声や、「セキュリティーが甘すぎる」という批判が出ている。
業務メールを装って送られてくる標的型メール
近年、特定の組織や個人を狙って情報窃取等を行う標的型攻撃が多くなっています。不特定多数に対する攻撃ではなく、ある特定の対象を狙って攻撃が行われることから、標的型攻撃の呼び名があります。中でもメールを使った標的型攻撃メールはソーシャルエンジニアリングの手口を使っており、だまされやすいため注意が必要です。通常、迷惑メールの中でも悪意あるメールは、添付ファイルを開かせることでウイルスに感染させたり、特定のサイトに誘導することで気付かれないようにウイルスを送りつけることがあります。標的型攻撃メールでは、これと同様の攻撃パターンを含み、なおかつあたかも正当な業務や依頼であるかのように見せかける件名や本文でメールを送りつけ、受信者がだまされやすいような仕掛けをしています。特に昨今は、受信者に関係ある実在の発信元を詐称するケースが増えており、被害を受けやすくなっています。
このため、標的型攻撃メールに対しては、利用者は発信元に問い合わせるなどして受信したメールの信頼性を確認する、添付ファイルを開かない、リンク先を安易にクリックしないなど、十分な注意をはらう必要があります。
このようなメールが標的型攻撃メールであることを見抜くためには、最近のメールのやりとりなどから判断をすることが重要です。たとえば、最近やりとりがなかったのに、突然メールが届いた、最近のやりとりの内容と全く脈絡のない内容のメールが届いた、などの場合は注意が必要です。このような疑わしいメールを受け取った場合は、情報管理者にすぐに報告・相談するようにしましょう。その他、最近の標的型攻撃メールは、誰でも取得可能なフリーメールアドレスを利用して添付ファイルにマルウェアを仕込んで送信されることが増えていますので、フリーメールアドレスから送られてきたメールには特に注意が必要です。
また、送信者のメールアドレスを正規のドメインに詐称して攻撃メールが送られてくることもあります。この場合は、メールの送信者アドレスに注意し、送信ドメイン認証の機能を利用してメールが正しい送信元から送られてきているかどうかを確認することで、不審なメールを特定する手がかりになります。
また、一般的にウイルスに感染する危険性を小さくするために、ウイルス対策ソフトの利用とソフトウェアの更新を欠かさずにしておくことも最低限必要な対策となります。
装置を導入しても人と組織を強化しなければ意味がない?
多くの大企業では既に「装置的な」セキュリティ武装は進んでいるとする声もある。しかし、それだけで済まないのがセキュリティ対策。セキュリティを運用する組織について改革が求められていることを鋭く指摘して非常によく読まれた記事が「やばいぞ日本、セキュリティ最前線からの警告」だ。セキュリティ企業の担当者による寄稿記事だけに、現場の実情と目指すべき方向をつぶさに解説している。日本でもセキュリティ状態を監視・調査する組織「CSIRT」を作る企業が増えているが、いかにも寄せ集めの急造組織であることが多く、知識・動きともに不安のある場合が多いという。悲惨なセキュリティ事故を起こさないためにも、今後はいっそう「人」「組織」を強化する方向に動かなければならない。
CSIRTとは?
CSIRT(Computer Security Incident Response Team、シーサート)とは、コンピュータやネットワーク(特にインターネット)上で何らかの問題(主にセキュリティ上の問題)が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称。
CSIRT以外にCIRT(Cyber Incident Response Team)という略称が使われることもある。
マイナンバーでは人的・組織的な安全管理措置も求められます!
1.組織的安全管理措置
責任者の設置、取扱担当者の明確化、取扱担当者が取り扱う特定個人情報の範囲の明確化など詳細な義務項目が定められているが、【中小規模事業者】(※以下参照)にはそこまで細かい義務は求められていない。例えば取扱規程などに基づく運用状況の確認のために、システムログや利用実績を記録することが求められているが、中小企業の場合は、業務日誌等において取扱い状況等を記録するといった対応でもよいとされている。
C 人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる 人的安 全管理措置を講じなければならない 。
a 事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。
b 事務取扱担当者の教育
事業者は、事務取扱担当者に特定個人情報等の適正な取扱いを周知徹底 するとともに適切な教育を行う。
【手法の例示】
* 特定個人情報等の取扱いに関する留意事項等について、従業者に定 期的な研修等を行う。
* 特定個人情報等についての秘密保持に関する事項を就業規則等に 盛り込むことが考えられる。
中小企業はセキュリティ意識が薄い?ITに関して投資と人材が乏しい!
中堅・中小企業のIT化についても触れておきたい。ITpro Activeの姉妹サイトとして、中堅・中小企業のIT化をテーマにしたサイト「ITpro Success」を運営しているが、そこで読まれた記事を見ると、ここでも「中小企業がマイナンバー対応を軽く見てはいけない理由」などの閲覧が大変多く、マイナンバー関連の記事に関心が集まっているように見える。
しかし、その実態は大企業とかなり違っているようだ。中堅・中小企業を得意とするITベンダーに話を聞くと、口をそろえて「対策は完全に後手に回っている」と指摘する。大企業と違い経営者の危機意識が薄く、投資を渋る傾向があるのだという。IT担当者の人材配置が薄いこともあり、情報収集が不十分な企業も多い。