年金機構のID流出についての見解と某大臣の発言について
こんにちは。リア充、といえば聞こえはいいですが、要は社畜として子と戯れる時間も犠牲にこき使われるセキュリティママです。
さてさて、年金機構から個人情報が漏れてしまいました。
私の情報が含まれているのかはわかりませんが不安ですね。
それにしてもAPTも巧妙になってきていますが、Yahooメールからの送付の時点で気がつかないものか…と思ってしまいがちですが、年金機構の職員にITリテラシーなんてあるわけないし。
ても、この問題に漬け込んだセキュリティ企業の多いコト!
アンチウィルス、振る舞い検知、サンドボックス、ネットワークパケット監視…
やったって100%は防げないって。
巧妙に仕組まれる攻撃を100%防ぐにはオフラインにして物理管理するしかできないですよね。
結局、セキュリティ教育の継続と、感染した後の早期発見、対応、そもそも発生させないためのプロセス確認とまさによく言われるPPTの管理が大切ですね。
まあ、そんな当たり前のことは置いといて。
今日伝えたいのは、絶対漏れるよマイナンバーというコト。
こっち漏れちゃってて大丈夫なの?
そもそも年金の管理だけでも突合失敗して消えた年金問題あるのに。
再発行したらさらに複雑化しそう。
そして、某大臣の「マイナンバーは厳重なfire wallがあるから安全」発言。
へそで茶を沸かしちゃうわ。
今時どんな組織でもfire wallぐらい入れてるし、それでもダメだから問題なんじゃん。
そもそもアメリカのsocialIDだって漏れて問題になっている。
日本ではあまり取り上げられてないけど、ある人が大人になって大学の学費をローンしようとしたら、ブラックリストに載ってて借りられない。調べるとIDが知らないところで悪用され上限まで借金されてた…何てコトもあるわけですよ。
流出元はわからないけど、小さい頃から病院やなんかで使ってたりするけら誰がどこで悪用するかわからない。
怖いですねー。
アメリカなんかじゃ、IDで判断するコト多いからきっとナリスマシだって多発してるだろし。あんまり気にしてないだけで。
で、思うわけです。
もしマイナンバーするなら、番号を個人に配布せず、省庁内での突合用にだけ使えばいいのに。って。
まぁ、これも省庁のデータは流出しない前提な訳で。
アクセス権管理と漏洩対策をしっかりした上での話なわけで、正直今の日本の一般セキュリティエンジニアのレベルでは常駐してても守りきれないわけだけど。
そもそもなんでそちら側の都合のための仕組みの管理をエンドユーザーに任せるのか。
リテラシーなんてない人もたくさんいる。
大臣の発言はもしかしてセキュリティリスク(漏れたときの被害額や影響度)よりこのプロジェクト全体の経済効果の方が高いと判断してリスクテイクしているのかもしれない。
その場合、オレオレ詐欺やなんかの犯罪による経済も経済効果の一部に計測してるのかな?
利便性もいいけど、私はまだまだ、日本にsocialIDは早いと思うのです…
しかも自分で管理に関与しきれないところで漏洩するリスクが高すぎる。
さらに某国のスパイとかIDを乗っ取ってなりすましとかそういうのに使われるのも多いんじゃないか。
すでに震災で行方不明の方の戸籍を利用したなりすましもきっと存在していると私は睨んでいます。
