ども。
教育委員会の職員のようになってしまった担当ちゅんです。
このところすっかり教育案件につきっきりになってしまいましたが、本務である行政部門のICTのことだってやらなければなりません。
本日は定期的に開催している「特定個人情報(マイナンバー)取扱者向け」の情報セキュリティ研修。先週から行っているもので、本日が最終日。私の持ち時間は30分程度でしたが、3回目の説明となりました。
1年に1回は実施が義務付けられている研修ではありますが、毎年同じ内容で説明していたのでは面白くないと思い、今回からは独立行政法人情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」を紹介しつつ、その中から数点ピックアップするかたちでの説明としました。
研修資料を作るにあたってIPAのウェブサイトを確認すると、すでに2020年版の10大脅威が項目のみですが公開されておりました。
1位の脅威は昨年と同様に「標的型攻撃による機密情報の窃取」となっておりましたが、私が今回注目したのは2位の「内部不正による情報漏洩」、4位の「サプライチェーンの弱点を悪用した攻撃」、7位の「不注意による情報漏洩」の3点。これを自分たちの業務に置き換えて考えるとどういう部分に注意が必要なのか、具体的に何をしなければならないのか、といった視点での説明です。
内部不正と不注意についてはどんな内容だったのかご想像どおりではありますが、今回注目したのはサプライチェーン攻撃。セキュリティ対策が万全の大企業などが狙われるもので、セキュリティが低い関係先等の経路から侵入されるといったリスクのことをいいます。これ、一見すると行政職場には関係の薄いインシデントに感じられるかもしれませんが、例えば帳票等のシステム出力処理などを外部事業者に委託している場合には、その委託先をきちんと監督しなければそこがリスクとなりえます。なので業務委託する際の契約ではこういうことに気をつけましょう、という内容。結局、今回紹介した10大脅威について、我が職場だけは大丈夫という項目は一つもありませんでした。こうした地道な研修により少しでもインシデントのリスクを減らすことにつながれば嬉しいです。
ところで、本日の説明では割愛をしたのですが、個人的に興味深かったのが昨年の16位から一気に10位もランクアップし6位となった「予期せぬIT基盤の障害に伴う業務停止」。同業者であれば誰しもが「あっ・・・」と思われるかもしれませんが、このようなことが起きないよう、日頃からしっかりと管理していかなければならないと再認識しました。
ちなみに、この表紙に使ったマスコットの名前は「マイナちゃん」です。
(投稿者:ちゅん)