Government

政府・自治体

2015.07.21 投稿者: ブログチーム

年金情報流出125万件で広がる不安 マイナンバーは本当に安全?

年金情報流出125万件で広がる不安 マイナンバーは本当に安全?

 「コンピューターウイルスにより、基礎年金番号などの年金情報約125万件が流出した事件は、2016年1月に制度開始が予定される社会保障と税の共通番号(マイナンバー)制度の信頼性にも微妙な影を落とす可能性がある。マイナンバーは、国民一人一人に割り振る12桁の番号で、今年10月から番号を送付。来年から税、社会保障、災害対策の3分野に活用される。これまで別々の行政機関で管理されていた所得や年金支給額、健康保険、介護保険といった個人情報が結びつく。
 マイナンバー活用によるメリットは、行政事務の効率化、社会保障給付の適正化、税金逃れのチェックなど多岐にわたるが、それは裏返せば、個人情報保護の点では懸念材料。多くの個人情報にひも付けされた番号は、情報が流出して悪用されれば広範な被害に結びつく可能性がある。
 このため政官民が総出でセキュリティー対策に取り組んでいる。総務省は昨夏、自治体システムで強力なセキュリティー対策を実施するためのマニュアルを公表。呼応する形で民間の関連企業がウイルス検知機能を提供し、外部からのサイバー攻撃に備える。ただ、こうした対策も万能ではない。今回の事件では、日本年金機構の情報管理のずさんさも原因の一端だが、堅牢なセキュリティーシステムを構築しても、情報を盗もうとするサイバー攻撃から常に安全とは言い切れない。」

SankeiBiz <マイナンバー制度の信頼性にも波紋 年金情報流出125万件> 2015/06/02

 日本年金機構の情報流失事件を「人災」だと伝えているメディアがいくつかありましたが、私たちはそう決めつけるのは早計だと思っています。職員へ情報セキュリティー教育を徹底するのは重要ですが、人間の判断力には限界があります。特に最近猛威を振るっている標的型攻撃の場合、攻撃者から送信されてくるメールには、普段の仕事のやりとりに酷似した内容が記載されており、開いてはいけない添付ファイルを開いてマルウェアに感染しても、そのマルウェアは目立った動きをユーザーの目の前で行う訳ではなく、直ぐには気がつかないのです。運よくウィルス対策ソフトやファイアウォールが感染を検出してアラートを出しても、ユーザー体験としても、システム管理者からみたログも通常の業務となんら変わらないため、感染端末を隔離するのに躊躇してしまいます。この間にも端末から端末へ感染が拡散し、次々に情報が流出してしまうのです。
 この問題を解決するには、「(1)感染したか否かをシステムで判断」し、「(2)黒なら即座にシステムで自動的に隔離」することが必要です。これまでのセキュリティシステムは、(1)には対応できましたが、(2)を端末単位で行うことができませんでした。そこで、“2つのSDN”のうち、Secure Enterprise SDN(SES)が特効薬として期待されています。SESは、(1)に対応する様々なセキュリティー対策ソフトやシステムと連携し、ネットワーク上で即座に(2)を実行する仕組みです。

img2 SESは、アライドテレシスが提供するSDN Controllerと、端末が直接つながるスイッチ(Edge SW)および無線アクセスポイント(AP)の連携により機能します。何かしらの(1)のシステムからSDN Controllerに対し、「この端末が感染した」「この端末の通信挙動は、外部攻撃者による乗っ取りが強く疑わしい」という通知が送信されます。するとSDN Controllerから、その端末が通信しているEdge SWやAPに対し、即座に「この端末の通信を隔離せよ」という指示が出され通信を遮断しますので、このあと攻撃者が侵入後に目論む、内部での拡散は自動的に防げるのです。
 (1)にトレンドマイクロ社のDDI(Deep Discovery Inspector)という製品を利用すると、端末内やファイアウォール内でウィルス/マルウェアを検知するだけでなく、ネットワーク上で通信の「ふるまい」を検知します。DDIは、世界中のウィルス/マルウェアの通信パターン情報(クラウド上に集積)と連携しており、ふるまいを相関分析することで検知します。DDIとSESの連携は、現在世界最強のセキュリティーソリューションだと思います。
 信じがたいことですが、ウィルス/マルウェアは、毎日_100万種類の新種が発生していると言われています。ローカルにインストールしているセキュリティーソフトのパターンファイルを最新にバージョンアップしていても、攻撃者はそのセキュリティーソフト、パターンファイルを回避した攻撃方法を常に考えています。仮に日本年金機構が導入済みのセキュリティーソフトのパターンファイルを最新に更新していたとしても、標的として狙われたらその侵入を防ぐ事は大変困難である、そういう時代になってしまっているのです。
 つまり今回の流出事件は、人災というより、システムが古かったのです。この事件により、マイナンバー対策への関心が高まりました。アライドテレシスではSES関連のセミナーを随時開催しています。是非、最強のソリューションを勉強しに来てください。

 

 

 

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top