マイナンバーを狙った標的型攻撃への対策を行う重要性
マイナンバーを標的型攻撃から守ることは、どれくらい重要なのでしょうか。
利用用途拡大に伴う被害リスクの増大
マイナンバーは現在、税や社会保障・災害対策分野に活用されていますが、今後、資産情報・医療記録・雇用情報などにも広がるとされています。よって、膨大な個人情報を記録したマイナンバーを狙った標的型攻撃も、今後ますます増えていくでしょう。
米国では、2014年に大手医療保険会社の社会保障番号が流出し、個人情報が漏洩しました。今後マイナンバーが普及するとともに、国内でもこのような事件が発生することが危惧されます。そのため、マイナンバーを狙った標的型攻撃への対策を行うことが重要なのです。
罰則リスクの回避
マイナンバーに個人を特定できる情報が結びついている個人情報は、番号法によって「特定個人情報」と規定され、重要な個人資産とみなされます。
番号法は、個人情報保護法の特別法です。そのためマイナンバーについては、番号法の規定の方が個人情報保護法より優先されます。
さらに番号法は、違反時の罰則が個人情報保護法より重めです。仮にマイナンバーを正当な理由なく流出させた場合、「4年以下の懲役または200万円以下の罰金または併科」という罰則を課されます。
マイナンバーを狙った標的型攻撃への対策は、このような罰則規定を回避する意味もあるのです。
マイナンバーを狙った標的型攻撃への対策方法
マイナンバーを標的型攻撃から守るには、どのようなことをすればよいのでしょうか?
社員教育の実施
マイナンバーを狙った標的型攻撃は、メールが起点となります。よってまずは不審なメールへの対処法を社内共有することから始めましょう。
具体的にはウイルス対策ソフトによって、怪しいメールの受信拒否を行います。「怪しいメールの添付ファイルは開かない」などの、ルールを策定することも重要です。同時に、メールを開封しマルウェアに感染した場合の対処方法も考えます。
情報システム部門が主導して、標的型攻撃の模擬演習を実施するのも効果的です。偽装メールに反応してしまった社員には、厳しめの注意喚起を行いましょう。
標的型攻撃対策ツールの導入
標的型攻撃対策ツールを導入すると、「入口」「内部」「出口」対策を構築しやすくなります。「入口」「内部」「出口」対策は、標的型攻撃を防ぐのに有効な考え方です。それぞれに、以下のような役割があります。
- 入口対策
- メールの本文や添付ファイルをチェックし、マルウェアの感染を予防する
- 内部対策
- システム内に侵入したマルウェアを監視し、排除する
- 出口対策
- 外部と通信しようとするマルウェアを検知・排除し、機密情報の流出を防ぐ
それぞれの対策を独自に講じるには、「サンドボックス」「端末隔離」「ログ調査/遮断」などの、複雑な設定が必要です。しかし標的型攻撃対策ツールを導入すれば、効率的に多層セキュリティを構築できます。
マイナンバーを標的型攻撃から守り、安全性を向上!
マイナンバーを狙った標的型攻撃は、今後増えると予想されるため、早急な対策が必要です。万が一流出させると、通常の個人情報保護法より重い刑罰が課されるので注意しましょう。社員教育を実施し、標的型攻撃対策ツールを導入するなどして、自社に合ったセキュリティを構築してください。
マイナンバーを標的型攻撃から守り、安全性を向上させましょう。
