しかしながら、ここに記載のある問題点すべてに対応できている企業はどれだけあるだろうか。標的型メールを(4)にあるような既存のセキュリティ網で対処できると考える企業はまだまだ多く、(1)のような具体的な体制を設けているところは少ないだろう。(2)にあるように、ウイルス検知時のみ委託先が報告するという簡易的な委託をしているケースも非常に多い。
また、(3)にあるサイバー攻撃のリスクを認識・対応できている企業は、2014年のIPAの報告書によると、半数を切る。セキュリティ専門家の人材確保、外部委託するにしても多額の費用が必要となるなどの理由から、(6)のような組織体制を組むには高いハードルと感じる企業ばかりだ。
ある都道府県のCIOによると、今回の年金機構の事件を受けて、セキュリティを見直し、これからサンドボックスの導入を検討し始める自治体も多いだろうとのこと。しかしながら、前述の(1)~(6)の問題点が払拭できず、かつ、現実問題として、人材や資金不足について政府側の援助をどこまで受けられるのかといった課題が残るそうだ。
一方、事業者側は、完全に自社の責任範疇として、特定個人情報を守るための安全管理措置に対して投資していかなければならないが、企業間の温度差があるようだ。
それだけではなく、今回の問題点の一つには、機密情報の操作が可能な端末がインターネットに接続可能な環境に置かれていた点が挙げられている。すなわち「基幹系」と「情報系」のシステムが混在した環境であった点については、運用効率を考慮、優先すれば当然であり、このような環境下で情報を取り扱う自治体・事業者は多いだろう。
機密情報を取り扱う端末ごとに物理的にインターネットから切り離すことは容易なようで、実際さまざまな障壁がある。マイナポータルなどインターネット経由のマイナンバー管理システムが存在する以上、管理者宛にマイナポータルを装った不正リンク、添付ファイルを含んだメールが届いた場合、同一端末で作業を行い感染する、といった事案が容易に想像できる。つまり特定個人情報を取扱う担当者、および端末をインターネット(ウェブ、メール)から隔離して運用できるかが焦点となりそうだ。
また、マイナンバーのガイドラインに含まれる技術的安全管理措置の、標的型攻撃対策とも言うべき項目「c:外部不正アクセス等の防止」において、含まれる例示がファイアウォールの導入、アンチウイルスの導入などといった「年金機構でも対策していた」レベルの対策しか言及されていない。
この点について直接総務省担当者に質問する機会があったのだが、「必要な対策を全て盛り込むとそれが必須となってしまい、企業によっては資金的に対応できない部分も出てくるため、各組織に応じて適切な対策を検討していただきたい」といった回答を頂いた。
つまり、標的型攻撃を受けるリスクのある企業は、ガイドラインに言及されていなくても高レベルなセキュリティ対策を率先して選択すべきであるということだ。例示通りのセキュリティ対策では、年金機構の二の舞を演じることは、今回の報告書からも分かる通りである。(上記問題点(4)参照)