マイナンバー対策で急ぐべきこと(企業・2)
昨日に引き続き。
さて、外部からの攻撃に対応しなければならない
といっても、容易ではありません。
特にセキュリティに詳しい者を置くことができない
中小企業ならなおさらです。
でも、年金機構であったような
今の標的型攻撃では、大企業か中小企業かなんて
攻撃者は意識しません。
マイナンバー制度が開始され、
「売れる情報」=マイナンバー が
どんな中小企業でも、それなりの件数がある
ことがわかっている“これから”は、より顕著になるでしょう。
こういう場合、今の選択肢は3つでしょう。
1.リスク認識したまま受容する。
暗号化対策のみなんかがこれですね。
リスクの削減はしますけど、漏洩の危険はそのまま。
でも、一応、対策はしてますので、万一の際でも
バッシングは少なくなるから、と。
2.信頼できる誰かに預ける
所謂BPOサービスです。
良いんですけど、昨日のブログの通り、
これはサービスをしっかり選別しなくてはいけません。
ポイントは「監督責任を果たせるか」
「通信経路の安全性は確保できるか」
ですね。
3.分散管理をする
秘密分散という手法で、会社とクラウドに分けて保管する方法です。
物理的に別個の場所で保管しますので、
一方でウィルス感染や内部犯行が行なわれても
マイナンバーの復元ができません。
(こちら参照)
これらを自社の状況に鑑み、選択し、
年内に結論付け、対応する必要があります。
ただし、今はシステム業界も慌しい状況です。
何よりエンジニアが不足しています。
対応に時間がかかります。
一刻も早い行動が求められています。