日本年金機構の年金個人情報が大量流出した事件を受け、各省庁は特定の組織や個人情報を狙う「標的型メール」によるサイバー攻撃に改めて警戒を強めている。業務用パソコンのインターネットからの遮断、パスワードの徹底などの取り組みで「個人情報流出は考えにくい」と豪語する官庁もあるが、対策は万全なのか。
運転免許証などの個人データを管理する警察庁では、職員が業務で使う端末はインターネットやメールに使用できず、外部と完全に遮断されている。課長補佐以上にはパソコンが貸与されており、外部とのメールにはこのパソコンを使う。担当者は「端末を分けるのは原始的だが最も効果的な防御策」と話す。
国税庁でも納税者情報を扱う職員のパソコンはネットと分離されており「機構のような情報流出はありえない」(担当者)と話す。
「内閣サイバーセキュリティセンター(NISC)」が各府省庁に対し、情報セキュリティー対策として策定した統一基準では、情報の機密性ごとに3段階に区分し、機密性の高い「3」の対象はネットに接続しない媒体で保存。暗号化して保護することと規定している。個人情報など「国民の権利が侵害される情報」は「2」に区分されるが、国土交通省では独自に個人情報を含めた機密性2以上の情報をパソコンに保存する際は、暗号化やパスワード設定を義務付けているという。
経済産業省でもパスワードなどを徹底する一方、ネットに接続されたパソコンで個人情報を扱うこともある。同省担当者は「ネットを完全に切り離してしまうとコストがかかり、業務の利便性に影響が出る。機密性が高い場合に限りネットと隔離されたパソコンを使うなど、内容によって使い分ける」という。
NISCが平成25年、18省庁の職員約18万人を対象に標的型メールの訓練を実施したところ、添付ファイルを開封した職員は1割を超えた。担当者は「メール自体の内容が巧妙化しており、意識の高まりだけでウイルス感染を完全に防ぐのは難しい」としている。
(産経新聞)
日本年金機構の情報流出で、マイナンバー制度に波及しているが、運用を遅らせてはダメだろう。
0 件のコメント:
コメントを投稿