あと3ヶ月程で国民への番号配布がスタートする「マイナンバー制度」だが、最近のニュースを見ると、制度が始まることに不安を抱かせるような情報流出事故が多発している。
連日報道されている通り、標的型攻撃による組織の情報流出被害は続出しており、日々世界中の組織や企業の重要情報が、悪意を持った攻撃者に狙われている。そこで今回は、今後企業が保有することになるマイナンバーを含む個人情報流出のリスクや、その対策について解説していきたい。

ニュースで見ない日はない「個人情報流出事故」

連日報道されている通り、組織や企業の「個人情報流出」の被害があとを絶たない。記憶に新しいものだと先月発覚した年金機構や教育機関からの情報流出事故があげられるだろう。
これらの原因はサイバー攻撃の一種である「標的型攻撃」だと言われている。年金機構の件に関しては攻撃者が狙った組織や企業宛に、ウイルスを仕込んだ「標的型メール」を送りつけ関係者に開封させるというものだった。実際に送られてくる標的型メールの例文などを見ると、いかにも自分の業務に関係あるような内容になっており、人の心理を突いた攻撃だと言える。これらを防ぐためには従業員にメールを開かせないための教育ももちろん大事だが、100%防ぐことができない前提でのセキュリティ対策が重要になってくる。

うちは狙われないから…は大間違い!企業規模問わず標的に

「うちは規模が小さいから狙われない」「大して重要なデータを保有していないから大丈夫」などという認識は大間違いである。どんなに規模が小さくても、顧客情報や従業員情報も立派な個人情報であることには間違いない。
特に今年の10月以降、企業は従業員のマイナンバーをなんらかの方法で収集し、保有することになる。もしこの状態で年金機構のように標的型攻撃を受けてしまったら一体どのような被害が想定されるだろうか?現在ではマイナンバーの利用範囲として社会保障・税・災害の3つの分野でしか認められていないが、将来的に様々な分野での利用が予定されている。なんらかの攻撃を受け、個人情報が抜き取られてしまったら…年金機構の時とは比べ物にならない程大きな被害に繋がり兼ねない。

100%完全防御はありえない! ウイルス侵入前提の対策が必要

標的型攻撃は狙った標的ごとにウイルスや攻撃のパターンなどを変えている。そのため、従来のパターンマッチング型でのアンチウイルスソフトだけでは検知できないものも多く存在しているという。入口で検知できなかった脅威に関しては、この時点で社内システム内にウイルスの侵入を許していることになり、100%入口で防ぐことは難しい。
しかし内部への侵入を許してしまったとはいえ、標的である企業のマイナンバーや個人情報を外部へ持ち出す事ができなければ攻撃者の最終目的は達成しない。入口や内部対策による防御が難しいのであれば、出口部分を塞ぐことで、情報の持出しを阻止することはできるだろう。