UTM（統合脅威管理）で守るマイナンバー

すでに発生しているマイナンバーの詐欺被害

マイナンバーは2015年10月から個人番号の配布が始まり、企業での管理は2016年1月からとなっています。具体的な施行はこの2016年からですが、驚くことに2015年10月から被害届が出されているのです。

70代の女性が被害者となった事件がその一例です。公的機関を名乗る男性から、電話でマイナンバーを告げられました。その後、別の男性から「公的機関に寄付をしたいから、あなたのマイナンバーを貸してほしい」と連絡があり、素直に教えました。すると、寄付を受けたという男性から電話があり、「マイナンバーを教えたことは犯罪にあたる」と指摘され、罰則の数百万円を払ってしまったというのです。この事件は、初めての被害ということで話題になりました。

「あなたのマイナンバーが流出している。登録を削除するために手数料をいただきたい」という電話は相当数あり、その詐欺の被害例も報告されています。警視庁は、電話でマイナンバーに関する質問をすることは絶対にないと公告しています。

このほか、多くの事件が発生しており、悪意ある集団にとって、マイナンバーは大きなビジネスチャンスとなっているようです。

狙われる企業とその対策

個人から始まったマイナンバーの被害。今度は、マイナンバーを大量に管理している企業が狙われるのは必須といっていいでしょう。では、企業はどのように対策すればいいのでしょうか。

攻撃手法として考えられるのが「標的型攻撃」です。2015年6月に表面化した年金機構で世間に知られることになった手法で、ターゲットを定め、複数の手法でしつこく攻撃を繰り返します。これを例に対策方法としてのUTMの機能を紹介しましょう。

■ウィルスメールへの対策

年金機構でも最初に届いたのがウィルスを添付したなりすましメールでした。この添付ファイルをうっかり開いてしまったために、マルウェアがまん延し、年金情報が持ち出されています。

このウィルスを発見し、社内ネットワークへの侵入を防ぐために、UTMにはアンチウィルス機能が搭載されています。個人ではパターンファイルの更新がおざなりにされる危険性がありますが、UTMをゲートウェイに設置することで常に最新のチェックが可能となります。

■水飲み場攻撃への対策

この攻撃も年金機構で使われました。職員が訪れるサイトを改ざんし、ウィルスを仕込んで感染させる手法です。UTMではURLフィルタリング機能が搭載されており、怪しいサイトへのアクセスを禁止できます。

■ネットワーク不正侵入

外部からの不正アクセスは必ずや繰り返されるに違いありません。これに対し、UTMではファイアウォールとWAFで防御します。不正アクセスをIPアドレスやアクセスの本文で精査し、疑わしいアクセスをシャットダウンします。

■情報の流出を防止

これは侵入防止ではなく、機密情報の社外流出を防止する機能です。何重もの防御でも破られ侵入されるかもしれません。しかし、社内から社外へと出て行くデータを見張り、マイナンバーが持ち出されるのを防ぎます。マイナンバー漏えいの最後の砦となります。

まとめ　～マイナンバーセキュリティの第一歩として

紹介したように、UTMは多重防御が可能です。これが最大のメリットです。

さらに、UTMはこれらが1台に収められており、運用が容易です。操作性も統一されており、専任の担当者が不要です。中小規模の企業では人的リソースが限られているために、マイナンバー担当者を専任することはもちろん、セキュリティ担当者の専任も困難です。そのような企業に、UTMでは最小の労力とコストで、最大限の効果を提供できます。

しかし、UTMによる防御も決して万全ではありません。政府が提供するガイドラインでも技術対策のみを推奨しているわけではありません。物理防御も含めた、多角的な対策が必要です。 これらの対策の第一歩として、UTMは大きな効果があります。ご検討をお勧めします。