日本年金機構で発生した大規模な情報流出事件についての詳細な報告書が、8月20日以降各所(日本年金機構や内閣官房のサイバーセキュリティ戦略本部、第三者からなる日本年金機構における不正アクセスによる情報流出事案検証委員会)から公開された。
今回の事件の契機が「フィッシングメールを利用した標的型攻撃」であることから、報告書に含まれる再発防止策はそれにフォーカスされたものとなっているが、この内容はマイナンバー施行前の各事業者、自治体とっても非常に有用なものである。自治体や事業者ともに、これから起こりうる「マイナンバーに絡む標的型攻撃」に備えることができる最後のタイミングであるかもしれない。
というのも、以前の記事でも取り上げたように、日本は標的型攻撃・最新型マルウェアに対する認識が甘く、そのリスクに対応できていない企業が多いことが、2014年、情報処理推進機構(IPA)より出された報告書(2014年情報セキュリティ事象被害状況調査報告書)から明白である。
内部統制やデータガバナンスが整備されていない環境で好き放題に情報へのアクセスを許容している企業は、今回の報告書を参考にするべき点が多く、組織における見直しをかけていく必要がある。ここで、まずは年金機構における問題点として挙げられている下記の点を一読頂きたい。
(出典:日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告」から抜粋)
いかがだろうか。組織において最高情報責任者(CIO)に準ずる役職者は、自社がどれだけ対応できているかを照らし合わせて頂きたい。マイナンバーのガイドライン(特定個人情報の適正な取扱に関するガイドライン)で言及されている標的型攻撃に対する「人的」「組織的」「技術的」安全管理措置のことで、これに対する対策が十分講じられていなかったことがこれら6つの問題点から読み取れる。