◎「マイナンバー施行直前と自治体情報セキュリティ対策」

○本当はもっと怖い「標的型攻撃」（日経BP　15/07/03）
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/062600308/?mle

　最近、「標的型攻撃」が“ブーム”だ。国民年金機構からの情報漏洩事件を皮切りに、被害が相次いで報告されている。

○標的型メール攻撃事例（2015/06）（Facebookより）

　発表月日　　発生月日　　　攻撃対象　　　　　概要

・06月01日　05月08日　　日本年金機構
　標的型メール攻撃を受け、パソコンがマルウェアに感染、外部との不正通信をして個人情報が漏えいした
・06月05日　05月29日　　国立情報学研究所
　動作検証用サーバが海外から不正アクセスを受け、DoS攻撃の踏み台にされ、当該サーバをネットワークから遮断した
・06月07日　02月20日　　富山大学
　工学部のサーバが海外からの不正アクセスを受け、DDos攻撃の踏み台とされた
・06月13日　06月11日　　健康保険組合連合会
　　　　　　　　　　　　　　国立医薬品食品衛生研究所
　健保連2台、医薬品食品衛生研究所1台の計3台にマルウエアの感染が確認され、各団体は外部とのネットワークを遮断するなどした
・06月17日　06月12日　　長野県上田市
　情報系端末２台がウイルス感染し、外部への不正通信が確認されたため、庁内LANとインターネット及びLGWANとの接続を遮断した
・06月17日　06月13日　　公益財団法人ひろしま国際センター
　業務用パソコン5台がマルウェアに感染し、外部に対し不正なアクセスをしていたことがわかり、外部とのネットワークを遮断した
・06月18日　06月15日　　新潟県庁
　情報ネットワークのパソコンが、定期的に外部サイトにアクセスを試みていたことを確認したので対応
・06月18日　06月17日　　香川大医学部付属病院
　5月下旬、ウイルスが組み込まれた電子メールが届き、パソコン1台がウィルスに感染した
・06月19日　05月08日　　長崎県五島市
市のホームページに不正侵入があり、ホームページを閉鎖した
・6月24日　06月24日　　法務省
　一般事務処理をするためのパソコンが不正なプログラムに感染した疑い

　〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
　標的型攻撃とは、特定の企業や組織を狙ったサイバー攻撃だ。多くの場合、攻撃対象とした企業の従業員にウイルス添付メールを送信して、企業内のパソコンにウイルスを感染させる。そして、ウイルス感染パソコンを遠隔から操り、金銭的価値の高い情報を盗み出す。Webサイト経由でウイルスを送り込む標的型攻撃もある。

・標的型ウイルスは“検出できない”
　検出できないのは、攻撃者は「ウイルス対策ソフトで検出できないのを確認しているから」である。
・感染しても被害を抑えられる対策
　感染した場合を想定した対策が不可欠だ。その一つが「出口対策」。インターネットに出ていくトラフィックを精査して、怪しい通信を見つけ出す。
　情報を盗み出されても問題ないように、「暗号化」も重要。
　企業としては、従業員への「教育」も不可欠。
　〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

　この国民年金機構の情報漏洩事案を受けて、総務省では、
・05月29日から住基ネットの安全確認作業
・06月12日付で地方公共団体に対して、既存住基システム等における個人情報の標的型攻撃対策の徹底についての通知を発出
・06月24日には全国の自治体の情報セキュリティ対策責任者に対する緊急会議を開催
・07月09日には総務省内に「自治体情報セキュリティ対策検討チーム」を立ち上げる

○「自治体情報セキュリティ対策検討チーム」第1回会合
http://www.soumu.go.jp/main_sosiki/kenkyu/jichitaijyouhou_security/02gyosei07_03000084.html

　平成27年7月9日
(1) 自治体情報セキュリティ対策検討チームの運営について
(2) 自治体情報セキュリティの抜本的な対策に係る論点とその手法について
(3) 地方公共団体におけるネットワーク接続形態調査について
(4) その他

○自治体情報セキュリティ緊急強化対策（案）について

1．監査・自己点検の早急な実施
　ネットワーク、サーバー、端末等における脆弱性についての早急なチェックの実施
　−＞　一斉調査システム8月7日までに報告
2．組織体制の再検討
（1）最高情報セキュリティ責任者（CISO）の設置の再確認
　−＞　8月中に全自治体において設置
（2）各自治体のインシデント対応体制を再確認し、インシデント発生時の担当者レベルで直ちに対応すること
（3）インシデント連絡ルートに沿って、インシデント支援体制を再確認。
　各都道府県ごとに、都道府県CSIRTと市町村CSIRTの連携体制を構築しておくこと（8月中）
（4）インシデント発生時の都道府県への支援体制の検討
　−＞　「自治体セキュリティ支援協議会（仮称）」の設立
3．インターネットのリスクから特定個人情報を分離
（1）特定個人情報に係る電磁的記録媒体を格納する情報システムの確認
（2）分離のあり方を検討
4．特に標的型攻撃に対する職員の訓練等の徹底
（1）緊急時対応計画の見直しと緊急時対応訓練の逐次実施（都道府県単位、全国訓練）
（2）特に標的型攻撃に対する入口対策（不審なメールは届けること等）の徹底
5．技術的セキュリティの強化
（1）アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を点検すること。
　市区町村分も含め、都道府県における分析が必要
（2）攻撃ポイントの減少とセキュリティ対策の充実を図る観点から、自治体クラウドの大幅な加速の検討。
　インシデント対応との関係から、都道府県毎に推進プラン（仮称）を構築
6．時間軸の設定
　マイナンバー制度導入を見据えて早急に行っておくべきことと、それ以降の対策とを明確にしておくべきである。

　7月29日に特定個人情報保護委員会から下記通知が出されました。
○個人番号利用事務で使用する情報システムが接続するネットワークは、インターネットに接続されたネットワークから物理的又は論理的に分離すること （特定個人情報保護委員会事務局長　平成27年７月29日）

　個人番号利用事務で使用する情報システムが接続するネットワークは、インターネットに接続されたネットワークから物理的又は論理的に分離すること（ただし、e-Gov等の電子申請システム、e-Tax及びeLTAXとの接続は除く）。
また、個人番号利用事務で用いる特定個人情報ファイルは、電子媒体を介してインターネットに接続されたパソコン等では取り扱わないこと。

　まだまだしなければならない事項が沢山あります。確実にマイナンバー制度が施行されることを願います。