こんにちは、あきっしーにて候う。
由来は秋葉原とふなっしーを略してみました。
・今日の天気
「曇りのち晴れ」です。
だんだん冷え込む傾向にあるかと。
・今日の見聞
「田町」へ行く予定です。
今日は何かあるのかな?
いや、むしろ何があろうと今日も平和でありますように。
・本日のニュース
情報源は”ITmedia”
「企業のマイナンバー対策:「人事部のPCが危険」なワケ」
●この連載は……
2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。
本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。
●塾長:伊藤健二(パイプドビッツ総合研究所 政策創造塾塾長)
●ゲスト:三輪信雄氏(S&J株式会社 代表取締役社長)
●進行と解説:大橋恵子(パイプドビッツ 経営ソリューション事業部長)
大橋 2015年10月5日にマイナンバー法が施行されました。いよいよマイナンバーの収集を開始する企業も出てきます。
今回より複数回に渡り、「マイナンバー制度のセキュリティ」を深堀りしましょう。セキュリティの専門家であるS&Jの三輪信雄社長をお迎えして、マイナンバー対応で最も重要な情報漏えい対策についてのポイントを解説していきます。
伊藤 三輪社長、よろしくお願いします。
三輪氏 はじめまして。よろしくお願いします。
伊藤 早速ですが、今回の記事タイトルは企業で最もマイナンバーを利用すると思われる人事担当の方が見たら衝撃を受けるかもしれません。
三輪氏 そうですね。衝撃的ですよね。
私もマイナンバーに関して、自治体や民間企業からセミナー講師の依頼を多く受けますが、とくに人事部、人事担当の方が参加されるセミナーでは必ずこの話をしています。
「人事部の皆さんのPCは、危険がたくさん潜んでいますよ」とね。
伊藤 人事担当者のPCがなぜ危険なのでしょう。具体的にはどのようなことが挙げられますか?
三輪氏 人事担当者は採用活動も行うので、もともと添付ファイルを開く文化があります。
しかも、就職希望者からのメールなので、無条件に添付された履歴書ファイルなどを開いてしまいます。
伊藤 仰る通りですね。
三輪氏 ウイルス対策ソフトを導入していれば、ウイルスが検知できるので問題ない、と考えている方も多いのですが、マルウェアと言われる最近のウイルスは、残念ながらウイルスワクチンで検知されることはほとんどありません。
伊藤 それは怖いですね。しかし、攻撃者の立場からすると、顧客情報や開発中の機密データといったビジネスにおける情報を狙うのではないでしょうか。それを取り扱わない人事担当者のPCを狙う理由はどこにあるのでしょうか。
三輪氏 人事部のPCから社内情報にアクセスすると、各従業員の個人情報や配属、役職などが分かる従業員台帳から、給与データまで情報を取得することができてしまいます。
また、人事部のメールアドレスは公開されている場合も多いです。まず、狙いやすいというのが危険な理由の1つでしょう。
伊藤 狙いは従業員情報ということでしょうか。
三輪氏 従業員情報もそうですが、やはり顧客情報が狙いと考えられます。
例えば、攻撃者が取得した情報を使って人事担当者になりすましてメールを送れば、受けとった従業員はおそらく何も疑わずにメールに添付されたファイルを開くのではないでしょうか。
こうしてマルウェアに感染させた従業員のPCから顧客情報を取得することが可能だと思います。
伊藤 そうなる前に、マイナンバーを取り扱う人事担当者のPCに対するセキュリティ対策は、これまで以上に万全にする必要がありますね。
一方、ガイドラインには、「特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい」と記載されています。この対応だけでマイナンバーのセキュリティ対策は万全か、不安な担当者の方も多いと思います。こちらはいかがでしょうか。
三輪氏 まず、特定個人情報を取り扱う端末は、通常の業務で使う端末とは明確に分けるべきです。つまり、特定個人情報等を取り扱う業務専用に用意するべきです。特に、Webブラウザやメールなどの利用は避けなければいけません。
伊藤 ネットワークを通じて感染していくマルウェアとなると、おそらくネットワークも分離した方がよいのでしょうね。
三輪氏 通常の業務で利用するネットワークと、マイナンバーを取り扱う端末が接続するネットワークは分離することが望ましいと思います。ネットワークが分離されていなければ、他の端末から感染する可能性がありますから。
伊藤 専用端末を用意して、ネットワークを分離すれば大丈夫なのでしょうか。
三輪氏 社内ネットワークにマルウェアが侵入すると、ネットワークを渡って、専用ネットワークにも感染を広げてしまうことがあります。したがって、特定個人情報を扱わない部署であっても、マルウェアの感染にはこれまで以上に注意する必要があります。
標的型攻撃では、巧みな文章で添付ファイルを開かせたり、リンク先をクリックさせるようにします。「あなたも、人ごとではない」と従業員に教育や注意喚起をするべきです。
伊藤 三輪社長、ありがとうございます。
大橋 今回の話から、マイナンバーを取り扱う端末のセキュリティ対策をまとめましょう。
三輪氏 重要なのは情報漏えいしないためのセキュリティ対策だと思います。
マイナンバーの収集を始める前に、ぜひセキュリティ対策については、改めて見直していただければと思います。
大橋 三輪社長、伊藤先生、ありがとうございました。次回はサイバー攻撃に対する対策について確認しいきたいと思います。
●今回のおさらい
・人事担当者のPCには、危険がたくさん潜んでいます
・マイナンバーを取り扱う端末のセキュリティ対策を収集開始前に確認しましょう
由来は秋葉原とふなっしーを略してみました。
・今日の天気
「曇りのち晴れ」です。
だんだん冷え込む傾向にあるかと。
・今日の見聞
「田町」へ行く予定です。
今日は何かあるのかな?
いや、むしろ何があろうと今日も平和でありますように。
・本日のニュース
情報源は”ITmedia”
「企業のマイナンバー対策:「人事部のPCが危険」なワケ」
●この連載は……
2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。
本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。
●塾長:伊藤健二(パイプドビッツ総合研究所 政策創造塾塾長)
●ゲスト:三輪信雄氏(S&J株式会社 代表取締役社長)
●進行と解説:大橋恵子(パイプドビッツ 経営ソリューション事業部長)
大橋 2015年10月5日にマイナンバー法が施行されました。いよいよマイナンバーの収集を開始する企業も出てきます。
今回より複数回に渡り、「マイナンバー制度のセキュリティ」を深堀りしましょう。セキュリティの専門家であるS&Jの三輪信雄社長をお迎えして、マイナンバー対応で最も重要な情報漏えい対策についてのポイントを解説していきます。
伊藤 三輪社長、よろしくお願いします。
三輪氏 はじめまして。よろしくお願いします。
伊藤 早速ですが、今回の記事タイトルは企業で最もマイナンバーを利用すると思われる人事担当の方が見たら衝撃を受けるかもしれません。
三輪氏 そうですね。衝撃的ですよね。
私もマイナンバーに関して、自治体や民間企業からセミナー講師の依頼を多く受けますが、とくに人事部、人事担当の方が参加されるセミナーでは必ずこの話をしています。
「人事部の皆さんのPCは、危険がたくさん潜んでいますよ」とね。
伊藤 人事担当者のPCがなぜ危険なのでしょう。具体的にはどのようなことが挙げられますか?
三輪氏 人事担当者は採用活動も行うので、もともと添付ファイルを開く文化があります。
しかも、就職希望者からのメールなので、無条件に添付された履歴書ファイルなどを開いてしまいます。
伊藤 仰る通りですね。
三輪氏 ウイルス対策ソフトを導入していれば、ウイルスが検知できるので問題ない、と考えている方も多いのですが、マルウェアと言われる最近のウイルスは、残念ながらウイルスワクチンで検知されることはほとんどありません。
伊藤 それは怖いですね。しかし、攻撃者の立場からすると、顧客情報や開発中の機密データといったビジネスにおける情報を狙うのではないでしょうか。それを取り扱わない人事担当者のPCを狙う理由はどこにあるのでしょうか。
三輪氏 人事部のPCから社内情報にアクセスすると、各従業員の個人情報や配属、役職などが分かる従業員台帳から、給与データまで情報を取得することができてしまいます。
また、人事部のメールアドレスは公開されている場合も多いです。まず、狙いやすいというのが危険な理由の1つでしょう。
伊藤 狙いは従業員情報ということでしょうか。
三輪氏 従業員情報もそうですが、やはり顧客情報が狙いと考えられます。
例えば、攻撃者が取得した情報を使って人事担当者になりすましてメールを送れば、受けとった従業員はおそらく何も疑わずにメールに添付されたファイルを開くのではないでしょうか。
こうしてマルウェアに感染させた従業員のPCから顧客情報を取得することが可能だと思います。
伊藤 そうなる前に、マイナンバーを取り扱う人事担当者のPCに対するセキュリティ対策は、これまで以上に万全にする必要がありますね。
一方、ガイドラインには、「特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい」と記載されています。この対応だけでマイナンバーのセキュリティ対策は万全か、不安な担当者の方も多いと思います。こちらはいかがでしょうか。
三輪氏 まず、特定個人情報を取り扱う端末は、通常の業務で使う端末とは明確に分けるべきです。つまり、特定個人情報等を取り扱う業務専用に用意するべきです。特に、Webブラウザやメールなどの利用は避けなければいけません。
伊藤 ネットワークを通じて感染していくマルウェアとなると、おそらくネットワークも分離した方がよいのでしょうね。
三輪氏 通常の業務で利用するネットワークと、マイナンバーを取り扱う端末が接続するネットワークは分離することが望ましいと思います。ネットワークが分離されていなければ、他の端末から感染する可能性がありますから。
伊藤 専用端末を用意して、ネットワークを分離すれば大丈夫なのでしょうか。
三輪氏 社内ネットワークにマルウェアが侵入すると、ネットワークを渡って、専用ネットワークにも感染を広げてしまうことがあります。したがって、特定個人情報を扱わない部署であっても、マルウェアの感染にはこれまで以上に注意する必要があります。
標的型攻撃では、巧みな文章で添付ファイルを開かせたり、リンク先をクリックさせるようにします。「あなたも、人ごとではない」と従業員に教育や注意喚起をするべきです。
伊藤 三輪社長、ありがとうございます。
大橋 今回の話から、マイナンバーを取り扱う端末のセキュリティ対策をまとめましょう。
三輪氏 重要なのは情報漏えいしないためのセキュリティ対策だと思います。
マイナンバーの収集を始める前に、ぜひセキュリティ対策については、改めて見直していただければと思います。
大橋 三輪社長、伊藤先生、ありがとうございました。次回はサイバー攻撃に対する対策について確認しいきたいと思います。
●今回のおさらい
・人事担当者のPCには、危険がたくさん潜んでいます
・マイナンバーを取り扱う端末のセキュリティ対策を収集開始前に確認しましょう