マイナンバーから考える内部不正防止のコツ

年金機構のレポートからマイナンバー対策を学ぶ--標的型攻撃への処方せん

髙岡隆佳

2015-09-04 05:00

 日本年金機構で発生した大規模な情報流出事件についての詳細な報告書が、8月20日以降各所(日本年金機構や内閣官房のサイバーセキュリティ戦略本部、第三者からなる日本年金機構における不正アクセスによる情報流出事案検証委員会)から公開された。

 今回の事件の契機が「フィッシングメールを利用した標的型攻撃」であることから、報告書に含まれる再発防止策はそれにフォーカスされたものとなっているが、この内容はマイナンバー施行前の各事業者、自治体とっても非常に有用なものである。自治体や事業者ともに、これから起こりうる「マイナンバーに絡む標的型攻撃」に備えることができる最後のタイミングであるかもしれない。

 というのも、以前の記事でも取り上げたように、日本は標的型攻撃・最新型マルウェアに対する認識が甘く、そのリスクに対応できていない企業が多いことが、2014年、情報処理推進機構(IPA)より出された報告書(2014年情報セキュリティ事象被害状況調査報告書)から明白である。

 内部統制やデータガバナンスが整備されていない環境で好き放題に情報へのアクセスを許容している企業は、今回の報告書を参考にするべき点が多く、組織における見直しをかけていく必要がある。ここで、まずは年金機構における問題点として挙げられている下記の点を一読頂きたい。



(出典:日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告」から抜粋)

 いかがだろうか。組織において最高情報責任者(CIO)に準ずる役職者は、自社がどれだけ対応できているかを照らし合わせて頂きたい。マイナンバーのガイドライン(特定個人情報の適正な取扱に関するガイドライン)で言及されている標的型攻撃に対する「人的」「組織的」「技術的」安全管理措置のことで、これに対する対策が十分講じられていなかったことがこれら6つの問題点から読み取れる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]