マイナンバーカードの画像データを個人に提出させ、そのまま保存しているという企業も多いと思われるが、最悪、罰則が課される事象だということを肝に銘じたい。
社内サーバーの私的利用
もう一つの例は、エクセルで作成した家計簿のようなものが漏えいしていることだ。収入の部として夫婦共稼ぎの月々の手取り収入とボーナスが1月から12月まで記載され、支出の部には光熱費や保育料、住宅ローンやお小遣いまでびっしりと数字が書き込まれている表が漏えいしている。家計のシミュレーションしたものと思われるが、これは明らかに従業員個人の私的データだろう。
会社が貸与したPCか自身のPC(BYOD)かは定かではないが、会社のサーバーを私的なデータストレージに使用している例だ。企業体質を表しているといわれても仕方ない。
今回のデータ流出事件がなければ気づかない事象だが、コンプライアンス以前の問題として指摘しておきたい。
ウイルス感染に備えたドメイン制御の見直しを
世の中はDXがブームとなっており、システムの統合化が進んでいる。今回の事件は、そのDXの進歩に見合ったセキュリティ対策が行われていないことを示す事例といえるだろう。
ランサムウェアの感染原因となる偽メール(フィッシングメール)は、生成AIの普及によりますます巧妙になっているといわれる。偽のメールも開封されることを前提とする必要がある。
もっとも効果的なのはマイクロセグメンテーション(ドメイン分割)技術を用いてドメインを分割し、ランサムウェアの感染を極小化することだが、Qilinの場合は、手動展開型ランサムウェア(Human-operated Ransomware)と呼ばれ、手動で操作して展開させるため、マイクロセグメンテーションを行っていることを把握され、許可されたポート経由で侵入されることもありうる。
DXに見合ったドメイン制御の設計を見直しておく必要がある。
