【待ったなしのマイナンバー】ガードが甘い中小が狙われる! | 東京IT新聞

【待ったなしのマイナンバー】ガードが甘い中小が狙われる!

コンシューマー セキュリティ

 10月から通知がスタートし、にわかに注目を集めるマイナンバー。2016年1月にはいよいよ、マイナンバーの使用が始まるため、多くの企業がその対応におわれているが、そんな今だからこそあらためて見直したいのが情報セキュリティである。

 トレンドマイクロが11月20日に都内で開催した「Trend Micro DIRECTION 情報セキュリティカンファレンス」では、「最新の脅威を知り、次世代のセキュリティを体感する1日」と題し、識者や専門家を講師に迎えたさまざまなセッションが催された。その中の1つが、同社マーケティング本部プロダクトマネジメント部ファウンデーションプロダクト課の課長、宮崎謙太郎氏が登壇した「待ったなしのマイナンバー情報漏えい対策」だ。

 では、マイナンバーのスタートに合わせてなぜ、情報セキュリティ対策を見直さなければならないのか? それは「マイナンバーがさまざまな個人情報につながるカギになる」からだと宮崎氏は指摘する。マイナンバーは税務、社会保障、災害対策の3つに利用範囲が限られているが、先にマイナンバー法の改正案が可決され、利用範囲が金融や医療などの分野に広げられることになったのだ。

 将来的にさまざまな用途で利用されるようになることを考慮すると、個人情報を盗み出そうという悪意を持った攻撃者にとってマイナンバーは魅力的な存在となる。たとえば、マイナンバーの利用が進んでいるアメリカでは、ある女性が高校卒業時にクレジットカードを作成しようとした際、社会保障番号(日本でのマイナンバーのようなもの)を盗まれ悪用され、すでに約2億円の借金を背負わされていたことが発覚した。つまり、悪意の攻撃者にとって、マイナンバー1つを盗むことでさまざまに悪用できるわけだ。



 ヒトやカネをなかなか費やせない中小企業では、マイナンバーへの対策だけで手いっぱいとなり、情報漏えいセキュリティにまでとても手が回らないという企業が少なくないはずだ。ガードの甘いこうした企業こそ、悪意の攻撃者にとってはかっこうの標的となる。

 悪意の攻撃者は、マイナンバーを盗み出してすぐに悪用するとは限らない。むしろ今後、マイナンバーの法整備が進み、さまざまな個人情報がマイナンバーにひもづけられるのを待ったほうが、悪用する際の“うまみ”が増す。悪意の攻撃者がガードが甘いうちに盗み出し、価値が上がるのをじっくりと待ってから悪用する――こうしたリスクをともなうのもマイナンバーの特徴の一つである。

 つまり、従業員ひとり一人からマイナンバーを集めているまさに今、悪意の攻撃者は中小企業をターゲットに虎視眈々と盗み出すチャンスをうかがっていると言える。文字どおり「待ったなし」なのだ。

 また、中小企業が気をつけなければならない理由がもう1つある。それは、大企業という大きな獲物を狙い、悪意の攻撃者が中小企業を踏み台にすること。ガードの甘い中小企業にまず侵入し、そこから大企業の堅いガードを切り崩そうというわけだ。情報漏えいによって自社や自社の従業員等に被害が出ることはもちろん、取引先の大企業にまで被害が及んでしまい、その原因が自社にあることが発覚すれば――この責任はあまりに重大だ。



 セッション終了後、特に中小企業に向けてマイナンバー導入をきっかけにあらためて見直したい情報漏えい対策のポイントを尋ねた。

 「まずは、社内で管理している情報の棚卸をお勧めします。社内にどのような情報があり、どこに置いているのか、どのように管理しているのかを1つ1つ確認してください。そして、それが現状で良いのか、改善点がないかを見直していけば良いと思います。

 マイナンバーについても同じことが言えて、従業員ひとり一人から集めたマイナンバーをどこに保管するのか、どのように取り扱うのかをきちんと決め、社内ルールづくりをして管理を徹底していくことが大事です」(宮崎氏)

 また、例えばUSBメモリを安易に利用しているような場合、その情報はUSBメモリで持ち運ぶ必要が本当にあるのか、USBメモリの利用に制限をかける必要がないのか、検討するのも大きな対策の1つだという。同セッションで宮崎氏は、情報漏えいは外部からの不正侵入だけではなく、内部犯行によるケースも多いと指摘した。内部犯行で使われやすいのはUSBメモリ。その社内利用を見直す価値は大きい。

 外部侵入については、セキュリティを強化しても、それをかいくぐろうと悪意の攻撃者の手口は巧妙化してきている。そこで、「外部侵入と内部犯行は必ず起きる」ことを前提に、対策を立てることが望ましい。同社では、外部対策で「Deep Discovery Inspector」と「Trend Micro Deep Security」、内部対策では「情報漏えい対策オプション(ウイルスバスター コーポレートエディションのプラグイン)」というソリューションを提供している。これらを利用するのも対策の1つだ。なお、「Trend Micro DIRECTION 情報セキュリティカンファレンス」は12月18日にも都内で開催予定。

ガードが甘い中小が狙われる! マイナンバー前に情報管理を見直し

《加藤/H14》

編集部のおすすめ

特集

page top