これらのリスクを番号法ガイドラインの安全管理措置に照らし合わせると、以下のような整理ができる。
上記の表から見て取れるように、各脅威がマッピングされるべき安全管理措置の枠組みは存在しているものの、その対処としての例示が不十分であることが、筆者の指摘する「ほとんどの事業者が未認識の問題点」となっている。とりわけ年金機構の一件によって、フィッシングメールやマルウェアの脅威のみフォーカスされがちだが、上述の全ての脅威を認識し、対応、検討しなければマイナンバーを包括的に守ることはできない。
攻撃と防御は常にイタチごっこであるにもかかわらず、ここ近年においては「防御」側の認識や対応が後手になる企業が多い。この温度差をなくしていくことが、企業側に求められる本当の意味でのマイナンバー対応なのかもしれない。
そこで今回は、あらためて各脅威に対抗するための最新のセキュリティ技術について紹介する。第1は、グローバルなセキュリティ企業が提供する「脅威インテリジェンス」。これはいわゆるSOC(Security Operation Center)サービスではなく、セキュリティ企業の独自の手法によって収集されたリアルタイムの脅威情報を、各セキュリティ製品(セキュリティ境界線、ネットワーク、サーバやPCなどのエンドポイント)に共有し、既知および付随する未知の怪しいサイトへのアクセスや攻撃をブロックする対策である。
最新の脅威に対する情報がない場合、既存のホワイトリスト・ブラックリストといった静的な「古い」情報を用いた防御対策しか講じられず、日々増える未知の怪しいサイト、攻撃サーバ、未知のマルウェアといった脅威に対抗できないため、容易に自社ネットワークへの侵入を許してしまうことになる。
脅威インテリジェンスのレベル感も重要である。カタログ上ではどのベンダーも差分がないように見られるが、重要なのは「未知の脅威」をどのような手法で見つけ、そしてどの程度のスピード感で製品側にフィードバックできるのかということである。
さらに、そこには対応している言語(踏み台、攻撃サーバなどの存在する国の言語に対する認識、分析力)、ドメインに縛られない怪しいURL(フルパス)に対するコンテンツ分析(ページに含まれるリンクやファイル、文章の分析)、最新の既知ウイルスやマルウェアのハッシュ情報量も重要なポイントである。セキュリティベンダーの選定において、これらのポイントを比較した上で検討していくことが、実際の未知の脅威に遭遇した際の対応力につながる。