動き出したマイナンバー、いまから見直す「多重・多層のセキュリティ対策」とは
2016年1月から運用が始まるマイナンバー。だがセキュリティ面においては、多くの中小企業が未着手であったり、大企業でも取り組み状況はまちまちだ。マイナンバーのセキュリティにどう取り組んでいけばいいのか。ITRでセキュリティを中心に調査・研究活動を行うアナリストの大杉豊氏に話を聞いた。
マイナンバー対応は待ったなしの状況
2016年1月以降、「税」「社会保障」「災害対策」の3分野で制度運用が開始されるマイナンバー。住民票を持つ全員を対象に「個人番号」を付与されるため、個人を一意に特定することができるようになる。企業は、源泉徴収票などの法定調書に社員のマイナンバーを記載して提出することが義務付けられており、取り扱いをどうするかが大きな課題だ。
マイナンバーは基本的に同じ番号を一生使う。利用は厳しく制限され、漏洩した場合の罰則も厳しい。だが重要な個人情報という意味では、その情報を悪用しようとする攻撃者にとっても非常に魅力的だ。ITRのアナリスト、大杉豊氏は、米国の社会保障番号をねらった攻撃の実態を挙げ、類推される脅威を指摘する。
ITR アナリスト
大杉豊氏
「あちらの社会保障番号に対する攻撃で近年増えているのは、身代金ビジネスです。何らかの手段で入手した社会保証番号を使って、番号を漏洩されたくなければ身代金を支払えと脅すのです。著名な企業のCEOが狙われるケースが目立ち、身代金の額が数億ドルに達することもあります。日本でも、マイナンバーの利用がはじまると、こうした攻撃が増えることはまず間違いありません」
マイナンバー自体は単なる数字の羅列だ。だが、それが流出し、メールアドレスや電話番号などと紐付くと格好の攻撃材料になる。マイナンバーは流出した場合に変更することができるが、流出してからそれが発覚するまでに数ヶ月もかかるのが現実であり、そもそも流出に気づかないケースも多い。また、流出したことを事実のように騙り、金銭を盗もうとする詐欺行為も想定される。番号の漏洩を防ぐためのセキュリティ対策は、いまや待ったなしの状況なのだ。
とはいえ、取り組み自体はあまり進んでいないのが現状だ。ITRの調査でも、マイナンバー制度への対応は8割がこれからといった状況だ。
図1.マイナンバーに対する物理的・技術的安全管理措置の対応状況
出典:ITR User View 2015年11月調査
