長女に届いた一通の手紙長女の大学の費用をやっとのことで準備したF家であったが、伏兵は思わぬところからやってきた。伏兵の名は、「国民年金」である。平成3年4月から、学生であっても20歳になった時から国民年金への加入が義務付けられたのであるが、当時すでに大学を卒業し、社会人になっていた両親はそのニュースに接することもなく、日本年金機構から長女あてに届いた「国民年金被保険者資格取得届書」を見て、初めてその事実を知ったのであった。1カ月15,590円(平成27年度)。これが、これから長女が毎月支払っていく国民年金の金額だった。長女の大学の費用をぎりぎり用意できたF家にとって、この金額は衝撃的であった。F家の台所事情は、長女の学資保険だけでは大学入学時の費用を賄うことができず、たまたま同時期に満期を迎えた次女の学資保険の高校入学祝い金を流用してしのいだことから、その切迫度がうかがえる。次女が公立高校を選んだことで、この「目的外使用」が可能となったわけであるが、今話題の祖父母等による「教育資金一括贈与」ではこのような目的外使用は許されない。使い道に制限のない学資保険だからこそできた「荒業」であった。いったいどうやって払うのか「どうしよう……。」ダイニングテーブルに置いた国民年金被保険者資格取得届書を前に、長女由里子(仮名)は途方に暮れてしまった。家計に余裕のないことは、由里子もよくわかっていた。「バイトを増やそうか?」由里子は力なくつぶやいた。実際は部活と授業のスケジュールがいっぱいで、いま以上にバイトに割ける時間はほとんどない。「でも、15,590円も稼ごうと思ったら、だいぶ働かないとだめなんじゃないの?」母も、由里子のスケジュールが過密であることはわかっていた。「時給900円だとして、約17時間働かないといけないわよ。」母が電卓で計算した数字を示しながら言う。「17時間か~、それは厳しいかも……。」由里子はため息をついた。「バイトのために勉強がおろそかになったりしたら、何のために大学に行ったのかわからなくなるぞ。」ここまで沈黙を守っていた父が突如として正論を吐いた。「学生納付猶予制度」とは「そんな本末転倒なことになっているはずがない。何か猶予制度のようなものがあるはずだ。どこかに書いていないか?」由里子は父のほうを見、日本年金機構からの書類を改めて見直した。確かに「学生納付猶予制度」という記述がある。「でもこれ、私も対象なの?」由里子は半信半疑な面持ちで書類を見直した。「よく読んでみなさい。大事なことなんだから。」父も横から書類をのぞきこんでいる。「<学生については、申請により在学中の保険料の納付が猶予される『学生納付特例制度』が設けられています。 本人の所得が一定以下の学生が対象となります。なお、家族の方の所得の多寡は問いません。>って書いてあるわ!もしかして、私も対象かも!」由里子ががぜん元気を取り戻し、はずんだ声で言う。「本当なの?」と母が心配そうに書類を手元にひっぱりよせながらつぶやく。「うまい話には必ず落とし穴があるものよ。よく読まないといけないわ。ここに書いてある、<老齢基礎年金を受け取るためには、原則として保険料の納付済期間等が25年以上必要ですが、学生納付特例制度の承認を受けた期間は、この25年以上という老齢基礎年金の受給資格期間に含まれることとなります。ただし、老齢基礎年金の額の計算の対象となる期間には含まれません。>このあたりがちょっと気になるわね。」由里子も母の手元から書類をひっぱり寄せながら、「どれどれ、そういえば……<将来、満額の老齢基礎年金を受け取るために、10年間のうちに保険料を納付(追納)することができる仕組みとなっています。>ここのところも気になるわ。大学を卒業した後、10年以内に大学時代に猶予された保険料を納めないといけないということ?」「それは違うと思う。『追納することができる』ということだから、義務ではないはずだよ。」父が由里子の手元の書類を見ながら言った。「じゃあ、この、『老齢基礎年金の受給資格期間に含まれるけど、老齢基礎年金の額の計算の対象となる期間には含まれない』というところは?」「老齢年金をもらうには、25年以上保険料を納めた実績が必要だけど、学生納付特例制度を使って保険料を納めなかった期間も、その実績に含めてくれる、でも、保険料を納めたことにはならないよ、という意味だろう。」「そういう意味か!お父さんすごい!」由里子が父を見て言った。「でもそれは、将来受け取る年金が少なくなるということでしょ?やっぱり無理をしても納めておかないと老後になって困るんじゃないの?」母はまだ浮かない顔をしたままだ。「保険料を後から追納できる制度だって、<保険料の後払い(追納)は、保険料が高くなることはあっても、安くなることはありません。>って書いてあるし、やっぱり由里子の将来のために何とかして納めておいたほうが安心なんじゃないかしら。」「……。」3人とも黙ってしまった。母が意を決したように、ややこわばった表情で話しだした。「今、本当に困ったときのための貯蓄が50万円あるの。そこから毎月半額の7,800円ほどを出して、それに、由里子が少しバイトを増やして、あとの半額を出して納める、というのは無理かしら?だって、老後は年金が頼りという人がとても多いらしいわよ。」「由里子が大学を卒業するまでの2年分は何とか賄えたとして、真由子(仮名・次女)の分はどうするんだ?」父が難しい顔をして言った。「そもそも由里子の大学入学のために、真由子の学資保険を使い込んでいる状態だろ?」借金してでも払うべき?「『教育ローン』は?!」由里子が突然思いついたように言った。「国の教育ローンを借りて、まとめて払ってしまうの。友達から、国の教育ローンの利率はかなり低いって聞いたことがあるわ。この書類に、国民年金は2年分前納すればおトクって書いてあるし、それに、後払いの場合保険料が高くなるんでしょ?教育ローンの利率によっては、借りてでも払った方が有利になるってこともあるんじゃない?」「確かに国の教育ローンは年2.15%の固定金利(※1) だから、利率はかなり低い。」父がいつの間にかノートパソコンを持ってきて、画面を見ながら言った。「仮に今、平成17年度の分を追納しようとすれば、保険料は約9.6%増し(下表参照)になるから、理屈の上では教育ローンを借りて、保険料を納めておいた方が有利だったかもしれない。平成17年の教育ローンの利率がわからないのではっきりしたことはいえないが。しかし、2年以内に追納すれば、追納による加算はないようだし、第一、お金を借りて保険料を払う、ということにお父さんは抵抗を感じるぞ。」母と由里子は顔を見合わせた。父が話を続ける。「もし、学生納付特例制度がないのだったら、お父さんも無理をしてでも払うことに賛成だ。しかし、せっかく特例制度があるのだから、ここは無理せず、この制度を利用したらどうだ?」父はさらに続ける。「この制度は、保険料を納めていない学生の間も保険料を払っていた期間と見なしてくれ、後から保険料の追納もでき、猶予期間中に万一重い障害を負った場合には、それまで保険料を納めたことがなくても障害年金が支給される、なかなかいい制度のようだぞ。それに、“保険料の追納は、保険料が高くなることはあっても、安くなることはない”、とはいっても、2年以内に追納した場合は、元の保険料のままで、高くなることはない。お母さんの言う50万円は、想定外のことが起こったときのために、手をつけるべきではないと思う。まだ真由子の進路も決まっていないこともあるし。お母さん、どう思う?」母も父の提案に納得した面持ちで、しみじみと言った。「真由子が進学するときは、もう少しゆとりのある資金計画にしたいわね。」父がため息をついて言った。「そうだな、やっぱり教育資金はぎりぎりではまずかったな。お父さんが大学生の頃は、学生は国民年金に入らなくてもよかったので、てっきり今もそうだと思い込んでいた。この国民年金の支払いがもし義務だったら、破綻していたかもしれない。本当に思いがけないところに死角があったな。」由里子が両親を励ますように、明るく言った。「真由子は優秀だから、きっと奨学金がもらえるよ!」父がたしなめるように言う。「由里子、奨学金だって借金なんだぞ!」「返済不要の給付型だってあるんだよーっ!」言い返す由里子。それを聞いた母が、「人のことを言っていないで、あなたももらえるように勉強しなさい!(※2)」「うわ、やぶへび、やぶへび!」由里子は部屋から逃げ出した。子どもの国民年金保険料を視野に入れた資金計画をこうして、F家の平穏を破る1通の手紙「国民年金被保険者資格取得届書」がもたらした波紋は収束した。猶予制度があるとはいえ、納付を希望する学生にとって国民年金の保険料は決して軽い負担ではない。親が代わって支払うとしても、1歳違いの兄弟が大学に進学した場合は、1年以上(※3)2人分の保険料を納付することになる。平成27年度なら月に31,180円となり、家計から捻出することが困難な家庭も少なくないのではないか。教育資金を準備するにあたっては、20歳からは学生であっても国民年金を納付する義務が生じることも視野に入れた計画になるよう、注意する必要がある。※1 2015年7月10日現在。※2 返済不要の給付型の奨学金は成績優秀者を対象にしていることが多い。※3 子どもの誕生月によって異なる。2人とも4月生まれなら2年間。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年08月24日日本年金機構は20日、不正アクセスにより個人情報が流出した人に対し、新しい基礎年金番号を24日から通知すると発表した。 対象は、個人情報が流出した約101万人のうち、6月に詫び状を送付した約96万人(年金受給者約52万人・被保険者約43万人、2015年8月14日時点)。○簡易書留で送付、9月中には全員に発送送付内容は、基礎年金番号を変更した旨と新しい基礎年金番号を記載した書類、新しい年金手帳、年金証書もしくは基礎年金番号通知書。簡易書留により順次送付し、9月中には対象者全員に発送する予定という。同機構は利用者に対し、改めて謝罪するとともに、二次被害が発生することのないよう最大限の努力を続けていくとしている。
2015年08月21日日本年金機構からの情報流出事件で攻撃に使われたのが「Emdivi」と呼ばれるマルウェア。年金機構の事件で話題になったが、各セキュリティベンダーの調査では、長期間にわたって活動していたマルウェアで、特に「日本を狙った攻撃」であることが特徴とされる。特定の組織を狙った標的型攻撃だったため、これまでセキュリティソフトに検出されにくかったようだが、こうしたEmdiviのようなマルウェアを悪用したっ標的型攻撃も「事前に検出可能だった」と主張するのが、FFRI 社長の鵜飼 裕司氏だ。こうした標的型攻撃を同社の製品がどうして検出できるのか、話を聞いた。○年金機構を襲ったマルウェア「Emdivi」を検知できた「FFR yarai」FFRIは、企業向けメインのセキュリティソフト「FFR yarai」を提供する。このyaraiは、特に標的型攻撃に対して威力を発揮する製品として、国内で40万台超のPCで稼働しているという。このFFR yaraiに対して、同社が入手したEmdiviの検体で試験をしたところ、攻撃をブロックできたという。FFR yaraiは2009年にリリースされたセキュリティソフトだが、当初より鵜飼氏は、従来のパターンマッチング型のマルウェア対策には限界があると考えていた。パターンファイルを使って、マルウェアと照合する方法は、マルウェアが少しでも変更されると検知できず、亜種が増えれば増えるほど、パターンファイルの量が膨大となり、システム負荷も高くなり、効率も悪くなる。標的型攻撃は、特定の組織を狙ってカスタマイズされているため、検体を入手しづらく、その検体からパターンファイルを作成するため、検体が手に入らなければ検知もできない。こうしたパターンファイルの弱点を補完する形で、FFRIが研究してきたのがヒューリスティックによる検出方法で、「メタな情報に着目して、怪しさを判別して検知するようにした」(鵜飼氏)ものが FFR yaraiのベースとなっている。FFR yaraiのポイントは、この"怪しさの定義"で「黒(マルウェア)を黒と見分ける技術」が重要になるという。FFR yaraiに搭載されている技術は5つのヒューリスティックエンジンで、「いろいろな専門的な立場でプログラムを分析」してマルウェアを検知する。Adobe Readerなどの脆弱性を悪用する攻撃は「ほぼ止められる」としており、USBメモリ経由やEXEファイルのまま送られるような場合でも、5つのエンジンのいずれかがブロックするそうだ。鵜飼氏によれば、実は標的型攻撃に悪用される高度なマルウェアは「通常のプログラムとかけ離れているので検知しやすい」という。逆に、パターンファイルが得意とする「通常のプログラムに近い(偽アンチウイルスといった)マルウェア」は検知しづらいという。Emdiviは、日本年金機構の攻撃で使われた検体だけでなく、さまざまな日本の組織を狙った亜種が出回っているようで、同社が入手した検体も数種類あるという。そのいずれも、FFR yaraiでは検出し、防御できていたそうだ。○FFR yaraiの独自エンジンとは?このFFR yaraiのエンジンには、機械学習エンジンも含まれており、いろいろなマルウェアのメタデータを分析し、ロジックを機械学習して検知を行っているが、それ以外の4つのエンジンは、「攻撃者の立場に立ってロジックの研究をしている」と鵜飼氏。このエンジンのロジックは、年2回程度のアップデートで常に強化をし続けているという。「ヒューリスティックでやっていくのに大事なことは、後手後手(の対策)から脱却すること」と鵜飼氏は強調する。現在の攻撃技術を分析し、どのようなマルウェアが使われているかを検証し、それに対抗するためのロジックはどういうものが必要か、という研究をするにあたって、将来的に発生しうる攻撃を、犯罪者より「先に開発する」というわけだ。そのロジックを組み込んでおけば、攻撃者がその攻撃手法を開発したとしても、すでに対応できるようになっている。鵜飼氏は、「攻撃技術に関する研究は大事であり、彼ら(攻撃者)を後手後手にしていくのが重要」と話す。こうした結果、2009年以降「連戦連勝」だという。標的型攻撃は、官庁などの政府系組織から大手企業をはじめ、さまざまな企業が狙われている。特定の業種業態だけが狙われているわけでもないため、企業などは狙われる前提で対策を取る必要があるだろう。それについて鵜飼氏は、「自分たちの組織が今どうなっているのか、可視化するのが重要」と指摘する。そのためには、セキュリティ企業の診断サービスを受けることもできるし、FFRI自身もそうしたサービスを提供している。とはいえ、「コストを抑えて把握する方法はある」と鵜飼氏。FFR yaraiは無料評価版も配布しているため、これを使うことで「少なくとも現状はわかる」という。こうしたツールを使うことで、まずは現状を把握し、例えばすでに狙われている場合もあるだろうし、組織内の弱点がわかれば、改めてセキュリティ強化の対策につなげることができる。○東京五輪がセキュリティに及ぼす影響は?将来的な攻撃において、鵜飼氏が懸念しているのは、2020年の東京五輪だ。「IoTオリンピックとも呼ばれている」と語るが、その頃にはさまざまなIoTデバイスが市場に出まわっている可能性は高い。それに対して、「問題は、どんなIoTが広まっているか」と鵜飼氏。将来が予測しづらいために、鵜飼氏も「いろいろ考えなければならないことが多い」と苦笑する。鵜飼氏は、総務省でのセキュリティ対策のための会合にも参加しつつ、予測をして、対策を考えていく。「スマートフォンオリンピック」と呼ばれたロンドン五輪は、さまざまなサイバー攻撃があったものの、「取りあえず乗り切った」。それがさらにIoTオリンピックになると「どこの国も経験したことがない状況になるため、世界からの攻撃が集まる可能性があるとして、「現実的なコスト感で、かつITがフルに利活用できるような状況を、我々セキュリティ屋さんも考えていきたい」としている。○Windows 10はセキュリティの分水嶺また、Windows 10について、鵜飼氏は「普及する可能性がある」とコメント。Windows 8から大きなセキュリティ上の変化があり、Windows Defenderが標準搭載された点をポイントとして挙げる。パターンマッチング型のマルウェア対策がOS標準で入り、それがWindows 10でも同様に標準搭載されることになるため、これを搭載したWindows 10が普及することで、パターンマッチング型のマルウェア対策がそれでカバーできるようになるとみている。一方で、ヒューリスティック型の対策を得意とするセキュリティベンダーが海外でも幾つか出てきており、今後はパターンマッチング型のマルウェア対策と入れ替わっていくことが予想される。しかしながら鵜飼氏は、「エンドポイントでこうした商品を出したのは、世界でも一番早かったと思っている」という開発の蓄積と技術力に自信を見せ、「他社とはけっこう差が開いている」とも話していた。
2015年08月12日日本年金機構による個人情報流出事件が連日報道されていたが、サイバー攻撃による被害は堪えることがない。われわれはどうしたら、自分の端末や個人情報を守ることができるのだろうか。今回、ウェブルートのマーケティング最高責任者のデイヴィッド・ダンカン氏に、サイバー攻撃が高度化する今日に有効なセキュリティ対策について話を聞いた。○従来のセキュリティ対策製品ではもう守りきれない初めに、ダンカン氏は従来のオンプレミス型のセキュリティ対策製品では、新たな脅威に対応しきれないことを指摘した。「例えば、シグネチャ・ベースのウイルス対策ソフトは、脆弱性が発見されてからシグネチャを作成して配布するため、エンドユーザーがシグネチャを入手できるまで時間がかかってしまいます。また、検出される脅威の数は増える一方であり、すべてのシグネチャをタイムリーに作成することは困難です」(ダンカン氏)そのほか、ファイアウォールは「エクスプロイト攻撃を理解できない」といった短所を、攻撃シグネチャ・ベースでマルウェアを検出するIPSは「浅いアプリケーション分析」「高い誤検知率」といった短所を抱えているという。昨今では、1日に2万5000個の不正なURL、6000個のフィッシングサイト、8万5000個の悪質なIP、79万の未知のファイル、12万個のマルウェアが検出されており、シグネチャ・ベースの製品では、この膨大な数の脅威に対抗しきれないというわけだ。そこで、同社が効果がある対策として提案するのが、クラウドコンピューティングを活用したセキュリティ・サービスだ。○クラウドベースのデータ分析で未知の脅威のふるまいを予測ダンカン氏は、クラウドを活用して未知の脅威に関する膨大なデータを解析して、脅威を予測することで防御すべきと語る。同氏は、クラウドベースのセキュリティ対策のメリットとして、「端末にインストールしないので、バッテリーの消耗が抑えられること」「脅威に関する情報をクラウドに接続している端末で共有できること」「ネットワークさえつながれば、どこにいても保護されること」を挙げる。ダンカン氏によると、不正なURL、IP、ファイル、アプリは検出されることを逃れるため、常に変化しているそうだ。そこで、同社はクラウド上で独自の機械学習エンジンを利用してPCのふるまいを記録・分析しているという。これにより、脅威のルールを見出して見えない脅威を予測し、対策を講じているというわけだ。実のところ、"クラウドベース"のセキュリティ対策製品を提供しているベンダーはウェブルートだけではない。ダンカン氏に、同社が提供するクラウドベースのセキュリティ・サービス「BrightCloud Security Services」は、競合のサービスとどう違うのかを聞いてみた。まず、「BrightCloud」は数百万のOEMパートナーのネットワークとエンドポイントからデータを収集しているため、分析対象のデータが膨大な量となっている。さらに、BrightCloudでは、エンドポイントからのデータは30秒ごとに収集しており、URLは200億個、IPは40億個、ファイルは70億個検出して、分析を行っている」(ダンカン氏)という。同社のパートナーには、ヒューレット・パッカード、パロアルト・ネットワークス、インテルなどの大手ベンダーが名を連ねており、各社の製品にBrightCloudが組み込まれている。そして、収集したデータは、前述の機械学習エンジンによってふるまいが分析される。具体的には、「リスクが高いことがわかっているWebサイトにもかかわらず開いてしまう」といった人間のふるまいをベースに解析が行われているという。そして、BrightCloudではふるまいを解析することで、これまで見たことがないIP、URL、ファイル、モバイルアプリについて、悪質なものであるかどうかを予測する。○ユーザーを邪魔せず効果をもたらすことが大切さらに、ダンカン氏はセキュリティ対策製品として、重要な要素を説明してくれた。同氏は、セキュリティ対策製品は、ユーザーの邪魔にならないよう、かつ、ユーザーが見えないように動作することが大切だと話す。加えて、ユーザーの端末のパフォーマンスを阻害しないことも必須だ。これらを実現しながら、製品の効果を上げるには、リアルタイムで処理することが求められているという。その点、BrightCloud Security Servicesは、クライアントにインストールするエージェントは1MBにも満たないため、負担がかからない。また、ユーザーに対しては、データが改竄されるなどのセキュリティ侵害を受ける可能性があることを認識したうえで、被害を受けた時に迅速に対処できるようなソリューションを持っているべきとアドバイスする。インターネットを利用するなら、未知の脅威との遭遇を常に想定しておかなければならない現在、自分の端末や情報を守るには、脅威を予測して手を打つことが必須なのかもしれない。
2015年07月29日住信SBIネット銀行は、日本年金機構において5月28日に判明した年金情報(最大で「基礎年金番号」「氏名」「生年月日」「住所」の情報)流出事案に関して、同機構より(1)顧客に電話すること、(2)顧客にお金を要求すること、(3)顧客にATMの操作をお願いすること、(4)顧客の個人情報(家族構成など)を確認することはないとして、注意喚起している。○日本年金機構や年金事務所を装った詐欺や個人情報の詐取が想定される(1)から(4)に加え、年金情報流出事案を悪用し、日本年金機構や年金事務所を装った以下のような手口による詐欺や個人情報の詐取が想定されるという。(5)顧客の通帳・印章やキャッシュカードを預かること(6)キャッシュカードの暗証番号やインターネットバンキングのパスワードを聞き出すことまた、日本年金機構や年金事務所以外にも、住信SBIネット銀行の職員または関係者、全国銀行協会職員、警察官などを装った(1)~(6)の手口による詐欺や個人情報の詐取も想定されるので、あわせて注意してほしいとしている。
2015年07月28日厚生労働省はこのほど、2014年度の国民年金の加入・保険料納付状況を発表した。それによると、自営業者などが加入する国民年金保険料の納付率は2014年度に前年度比2.17ポイント上昇の63.05%となり、3年連続で上昇した。年代別の納付率を見ると、55~59歳の74.62%が最も高く、次いで50~54歳が67.37%、40~44歳が62.17%と続いた。また、若い世代の20~24歳は同2.95ポイント上昇の59.27%、25~29歳は同3.1ポイント上昇の52.98%と、納付率は低かったものの伸びが大きくなっていた。都道府県別の納付率を見た場合、最も高かったのは島根県で76.71%、以下、新潟県の75.27%、富山県の74.38%と続いた。反対に最も低かったのは沖縄県の45.17%、次いで大阪府の53.98%、東京都の58.77%となった。納付率を市区町村の規模別に見ると、町村が66.56%で最も高かった一方、政令指定都市は57.49%、東京23区は56.14%と、低い傾向にあることが判明。また前年度比については、政令指定都市で2.44ポイント上昇、東京23区で1.46ポイント上昇、その他の市で2.22ポイント上昇、町村で2.22ポイント上昇し、前年度に続いて全ての規模で上昇した。
2015年06月29日日本年金機構への標的型と思われる攻撃があり、少なくとも125万件の個人情報の漏えいが判明したとの発表が6月1日(日本年金機構内で確認された日は5月28日)にありました。報道によると、攻撃にはメールを利用。年金機構内にあるコンピュータの利用者に実行させ、マルウェアを感染させるという旧来から利用されている手口でした。初めのメールは、5月8日に公開アドレスへ送られてきた3通のメールによって始まります。URL記述型:メールそのものにはマルウェアは添付されておらず、マルウェアをダウンロードさせるためのURLが記述されているタイプファイル添付型:メールそのものにマルウェアが添付されており、実行をうながすタイプこの事件を知り、「うちは大丈夫か? 対策は何か?」と考えた場合、多くの方が条件反射的に思いつく対策は「怪しいメールの開封、添付ファイルの実行、記述されたURLへアクセスしないようにする」といったものではないでしょうか。世の中には「標的型攻撃メールの対応訓練」といったものを実施している組織や実施したいと考える組織に対してサービスを提供している組織があります。この記事をお読みになられている方の中にも、この訓練を経験した方がいらっしゃるかもしれません。今回は、この訓練について、日本年金機構の標的型と思われる攻撃による情報漏洩事件を踏まえて考えてみようと思います。筆者は、この訓練について、実施方法や取り組みへの姿勢を誤ると、セキュリティ対策をするどころか実施の意義が薄れ、組織のセキュリティレベルを下げかねないものであると考えています。その理由を説明するには、訓練がどのように行われてきたかということを見る必要があります。まず、訓練はどのような目的のために行われるのでしょうか。筆者は以下のような理由で行われる訓練をよく見かけてきました。「送られてきたメールが標的型攻撃のためのものであると気付き、開封や添付ファイルの実行、記述されたURLにアクセスしないようにするため」そして、こうした訓練は複数回実施されるケースが多く、1度目に訓練メールを開いてしまった方には何かしらの教育や注意を行い、1回目と2回目の開封率を比較するというものがよくあります。そうすることによって開封率を下げるというわけです。しかし、それで本当に良いのでしょうか。開封率が下がることで必ずしもリスクが低減されたと言えるのでしょうか。筆者はこのことについて懐疑的な立場です。例えば、グループAとグループB、それぞれ100人いる2つのグループが訓練を実施したとします。その結果が以下のようになったとしましょう。グループA: 100人中1人が開封(開封率1%)グループB: 100人中10人が開封 (開封率10%)開封率を下げることによって必ずリスクが低減されるというのであればグループAが良い結果であり、数字だけで判断するならばリスクによるダメージもグループBに比べ低いと言えることになるでしょう。しかし、もう少し踏み込んで考えてみてください。開封した方の属性が以下の通りだったらどうでしょうか。グループA: 開封した1人が役員クラスまたはシステム管理者グループB: 開封した10人すべてが一般社員アクセスできる範囲はどちらの方が広く、情報の量が多いと言えるのでしょうか。多くの場合はグループAという結果になります。10人の一般社員よりも、1人の役員やシステム管理者の方が、アクセスできる範囲や閲覧できる情報は多く重要度も高いわけです。これらは容易に想像できますし、実際にそうなっている組織が殆どでしょう。開封率が下がれば下がるほど、残存するリスクが同じように減っていくのであれば開封率にのみ着眼した訓練は大いに意味のあるものであると言えると思います。ただ、実際には開いた人の属性が関係してくる可能性を含むため、開封率の低下と同じように残存リスクが低下しないケースが存在するということです。また、攻撃者は1台でも端末を感染に持ち込むことができれば、内部のネットワークへの侵入が完了することになります。そこから遠隔操作によって感染端末を操り、侵入範囲の拡大を行なっていきます。それを防ぐためには1台でも感染を許さないということ以外にありません。果たしてそんなことが可能なのでしょうか?筆者はそうあり続けることは現状不可能といっても過言ではないと考えています。つまり、私たちは圧倒的に不利な状況であるわけです。攻撃者には勝つことはできませんが、1つ目の壁を突破されたとしても負けにはならないための対策、意識が必要とされているのだと筆者は考えています。明日公開の後編では、訓練に関する"とある実験"の結果や年金機構のメール文を例に、メールテストの正しい利用法について解説していきます。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji
2015年06月23日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? ・ 公的年金で、サラリーマン家庭が特に知っておくべきポイント4つ ・ 年金の中で一番わかりにくい、企業年金を理解するためのポイント3つ ・ 事実上の退職金、企業型確定拠出年金のポイント3つ の続きです。確定拠出年金は、老後の資産形成の柱のひとつ。今回は、個人型の確定拠出年金について、ポイントを、年金のプロ、大江英樹さんに伺った。■個人型確定拠出年金は、現在、誰が加入できるのか? 現在、個人型確定拠出年金に加入できるのは、下記の図の通り「自営業・無職」の人か、「企業年金のないサラリーマン」だけ。大江さんいわく、「個人型の確定拠出年金は、とても良い制度なのに、入れるのに入っていない人のほうが多く、利用しているのは入れる人の10分の1未満。もっと、広報されていくべき制度だと思います」。■個人型確定拠出年金は、今後制度の拡大が決定2015年4月、個人型確定拠出年金に加入できる人が拡大する法案が国会に提出されている。ただ、この法案が通ってもこれから制度の細かい制定やシステム構築に取りかかるので、2017年頃を目途に制度がスタートするのでは? というのが専門家の意見。制度がスタートすれば、下記の図の通り、ほとんどの人が個人型の確定拠出年金に入ることができるようになる。■個人型確定拠出年金は、自分で年金をつくる最高の方法大江さんは言う。「実は個人型確定拠出年金こそ、自分で年金をつくる最高の方法なんです」。確定拠出年金。その名前を聞いただけで、現段階では難しそうな感じがすると思うが、今から2年後の2017年を目途に、認知度はグンと上がり、もっとポピュラーなものとなっているはず。その時になって慌てないためにも、「確定拠出年金」という言葉だけでも、頭の片隅にインプットして欲しい。今回は、Woman.exciteママで初めて年金の特集をしたので、年金の全体像をザッと眺める特集となったが、今後折をみて、確定拠出年金の運用方法の特集も考えている。確定拠出年金についてもっと詳しく知りたい人は? ◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月21日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? ・ 公的年金で、サラリーマン家庭が特に知っておくべきポイント4つ ・ 年金の中で一番わかりにくい、企業年金を理解するためのポイント3つ の続きです。近年、確定「拠出」型の企業年金の制度を導入する会社は増えている。それに伴い、世の中に「確定拠出年金」という言葉は広まりつつあるが、多くの人が「会社で確定拠出年金が導入されたけれど、よくわからない」というのが現状だ。そこで、企業型確定拠出年金を理解するためのポイントを、年金のプロ、大江英樹さんに伺った。■会社が潰れても大丈夫、企業型確定拠出年金のポイント3つ<ポイント1>節税になる「自分の分として会社から割り振られたということは、企業型確定拠出年金は収入!?」と思う人がいるかもしれない。たしかに、会社からもらえるお金という意味では収入だが、税金の計算をする時は収入から差し引いて計算される。その結果、税金を抑えることになる(これは確定給付年金の場合も同じ)。また、運用で得た利益や、運用したお金を年金や退職金として受け取る時にも、企業型確定拠出年金には、税制上の優遇がある。<ポイント2>会社が潰れても大丈夫確定「給付」型の年金の場合、勤めていた会社が潰れた時には、本来もらえるはずのお金が守られる保証はない。けれども、確定「拠出」型の場合は、すでに自分の口座に割り振られているので、それまでの分には何の影響もない。<ポイント3>60歳までは絶対に引き出せない確定拠出年金は、60歳までは絶対に引き出せない。これは一見デメリットのようだが、確実に老後資金を貯めるという視点で考えてみると、メリットであるともいえる。こうしてポイントを整理してみると、確定拠出年金は、とても良い制度。使わない手はないのでは? という気になる。「あまりPRがされていないので、世の中には知られていませんが、確定拠出年金は、老後試算形成の柱のひとつなのです」と、大江さん。でも、「うちの夫の会社には、企業型確定拠出年金がないかも!?」という人もいるだろう。そこで次回は、「個人型確定拠出年金のポイント3つ」と題し、個人型の確定拠出年金のポイントを整理する。確定拠出年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月19日ラックは16日、遠隔操作ウイルス「Emdivi」(エンディビ)に感染している国内企業が増加しているとして、注意を喚起した。Emdiviは日本年金機構における個人情報流出の原因と報道されているウイルスで、これに不安を感じた企業からの調査依頼により感染が判明するケースが多くみられたという。同社が運営する、情報セキュリティに関する事件や事故、懸念に対応する「サイバー救急センター」の調査では、Emdiviが発見された事例数が2015年6月に過去最高となった。しかし、それらの感染時期は2014年末と推定され、「Emdiviに感染していながら気付いていない企業が多く存在している可能性がある」として、注意を呼びかけた。標的型サイバー攻撃では、特定の組織や個人が反応してしまう、周到に用意された詐欺メールを送付。添付ファイルなどから感染したPCに対し、第三者の企業のPCを踏み台(攻撃拠点)にして指令を出し、重要な情報を継続的に窃取する。ラックでは、組織全体の防御レベル向上を図るだけでなく、セキュリティを突破された際の対策、復旧手段を日頃から訓練しておくことが重要だと指摘。情報の暗号化やダミーの混入といった施策などを、セキュリティ専門家と検討しておくことが必要だとしている。
2015年06月16日ゆうちょ銀行はこのたび、8月3日からゆうちょ銀行で公的年金の自動受取りを利用している顧客に、1年定期の金利を優遇する「年金 金利優遇キャンペーン」を実施すると発表した。○年金 金利優遇キャンペーン概要受付期間:8月3日(月)~8月31日(月)内容:キャンペーン期間中、ゆうちょ銀行で公的年金(国民年金・厚生年金・共済年金・恩給など)の自動受取りを利用している顧客に、1年定期(自動継続扱い)の金利を優遇する利用までの流れ:(1) キャンペーン期間中に総合口座通帳を提示し、ゆうちょ銀行で公的年金の自動受取りを利用していることを確認する。(2)1年定期(自動継続扱い)の店頭表示金利+0.1%(税引後0.079685%)の金利優遇が受けられるキャンペーン期間中、一人一回に限り100万円まで利用できる。ゆうちょなら日本全国に店舗・ATMがあるので、旅行中や引越し先でも便利に利用できるとしている。
2015年06月15日先日、日本年金機構に不正アクセスが発覚し、約125万件の個人情報が流出したと発表された。その原因は、近年、官公庁や企業を狙って急増している"標的型メール攻撃"。クオリティソフト株式会社は、6月18日(木)、今回の事件の手口や防御方法、今企業に必要なセキュリティ対策について解説するセミナー「~125万件の年金情報が流出~公認情報システム監査人が解説する、個人情報流出事件の手口と対策」を東京にて開催する。○公認情報システム監査人や日本マイクロソフトのセキュリティアドバイザーが登壇今回のセミナーは、3部構成。第一部ではシスコシステムズ合同会社のセキュリティビジネス事業推進担当部長で、"公認情報システム監査人"の資格を持つ楢原盛史氏が、「年金情報流出事件の概要とその手口」について解説を行う。第二部は「標的型攻撃の脅威と企業に必要な情報セキュリティ対策」について、クオリティソフト株式会社の山﨑誠司氏が語る。また第三部には、日本マイクロソフト株式会社チーフセキュリティアドバイザーである高橋正和氏が登壇。攻撃の傾向から見る今後のセキュリティ対策について解説する予定だ。年金情報流出事件のような標的型攻撃は、その手口がますます巧妙化。もはや従来のウイルス対策ソフトだけでは、防御が不十分とされている。情報漏えいなど取り返しのつかない被害を受けてからでは手遅れ。この機会に、本セミナーで最新のセキュリティ対策について知見を得てはいかがだろうか。セミナーへの申し込み、詳細は以下のサイトを確認してほしい。なお、受付は先着順で、定員になりしだい締め切られる。○セミナーの詳細は以下の通り開催日時: 2015年6月18日(木) 15:00~17:00参加費: 無料(事前予約制)開催会場: AP東京八重洲通り 7階 Pルーム(東京都中央区京橋1丁目10番7号)定員: 140名詳しくはこちら
2015年06月15日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? ・ 公的年金で、サラリーマン家庭が特に知っておくべきポイント4つ の続きです。私たちが、年金で知りたいことは、「自分は、どこから、いくらもらえるの?」ということ。だったら年金制度を、もらえる先ごとに「公的年金」「企業年金」「個人年金」にわけて考えてみると、全体像が把握しやすい。今回は、企業年金で知っておくべきポイント3つについて、年金のプロ、大江英樹さんにお話を伺った。■年金制度のわかりにくさの元凶? 企業年金を理解するためのポイント3つ<ポイント1>企業年金とは、給与の後払いのことである「企業年金という言葉自体が、実は年金制度の理解を難しくしているんです」と、大江さん。では、どう考えればいいのだろう?「『企業年金とは、給与の後払い』であると理解したほうが、ずっとスッキリします。アメリカでは公的年金をSocial Security、企業年金のことをBenefitと呼びますが、こちらのほうが実態を上手に表現した言葉かもしれません」。<ポイント2>企業年金は、分けて受け取る退職金会社を定年退職した後にもらえるお金としては、退職金と企業年金がある。この2つの違いについてもどう違うのか迷ってしまう。「名前と受け取り方が違うだけで、実態は同じものです」。こちらも図にして、視覚的にイメージしてみよう。 <ポイント3>企業年金には、2つのタイプがある企業年金のうち、分けて受け取る年金型には、下記の図のように2つのタイプがある。・退職後に貰う金額が確定しており、会社が一括してそのお金を管理・運用する=確定「給付」型・お金を出すのは会社だが個人が自分の分を管理・運用し、その成果次第で退職後に貰える金額が異なる=確定「拠出」型確定拠出年金は、従業員ひとりひとりに口座が割り当てられ、会社が出した掛け金が従業員の口座に割り振られる。確定拠出年金の場合は、従業員は、割り振られた自分の分のお金を自分で運用することになる。近年、確定「拠出」型の企業年金の制度を導入する会社は増えている。それに伴い、世の中に確定拠出年金という言葉は広まりつつあるが、多くの人が「会社で確定拠出年金は導入されたけれど、よくわからない」というのが現状だ。今後、世の中に広まっていくことが必須の確定拠出年金。次回は、「企業型確定拠出年金のポイント3つ」を取り上げ、企業型の確定拠出年金のポイントを整理する。年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月15日パロアルトネットワークスは6月12日に、Backdoor.Emdiviを用いた標的型攻撃の解説と、標的型攻撃による被害を出さないためのセキュリティ対策について解説した。これは、6月上旬に発生した100万件を超える規模の個人情報漏えい事件を受けてのもの。この事件は2013年以降に日本の組織を狙った攻撃で利用されているマルウェアBackdoor.Emdiviにより発生したと推測されている。Backdoor.Emdiviは侵入先のコンピュータから機密情報を盗み取るトロイの木馬と呼ばれるマルウェアの1つだ。改良された亜種も含め、複数の攻撃グループにより日本の企業や組織を狙った攻撃手段として用いられてきた。なお、11日にFFRIが年金機構を狙ったEmdiviを検知したと発表している。Backdoor.Emdiviによる攻撃手法は、ダウンロード役のマルウェア(ドロッパー)を仕込んだゼロディの脆弱性を突いたエクスプロイトコードを含むファイルや、WORDやPDFのアイコンに偽装したEXEファイルを、ターゲットとしている組織にメール送信することから始まる。このような経路で端末が感染するとBackdoor.Emdivi本体がインストールされる。その結果、HTTPベースでC&Cサーバーと通信を行い、様々な攻撃が行われる。Backdoor.Emdiviの場合、そのほとんどが日本国内で構築されたC&C サーバーと通信を行うのが特徴だ。その結果、攻撃が日本に特化した形で行われたと推測される。2014年11月ジャストシステムは一太郎の脆弱性について発表したが、この際に用いられていたマルウェアの一つがBackdoor.Emdiviだった。また、健康保険組合などの医療費通知に偽装したスピアフィッシング型のメールが多くの日本企業に送られた事件が同時期にもあったが、この時標的型攻撃に用いられたのもBackdoor.Emdiviだ。このようにBackdoor.Emdiviを用いた標的型攻撃は、巧妙に進化しながら日本の組織を狙い続け、その被害は後を絶たない。パロアルトネットワークスの調査によるとメールを経由としたマルウェア攻撃は他国と比べても高く、日本は標的型攻撃が成功しやすいと推測できる。その結果、日本が集中して攻撃グループに狙われている可能性も否定できない現状だ。パロアルトネットワークスによれば、標的型攻撃から個人情報などの重要データを守るためには、標的型攻撃における一連の流れ「サイバーキルチェーン」を断ち切ることが重要だという。例えば、Backdoor.Emdiviでは以下の攻撃プロセスがある。感染:エクスプロイトコードを含むファイル、偽装したファイルによる感染侵入:Backdoor.Emdivi (マルウェア)の侵入目的の実行:C&Cサーバーとの通信によるデータの破壊・盗難しかし、攻撃を許してもプロセスを途中で断てば被害には遭わない。それぞれの段階に対抗するソリューションを用意することで被害は抑えられる。しかし、様々なベンダーの単体ソリューションを組み合わせて利用すると、企業のIT投資コストと管理コストを圧迫する恐れがある。様々な対策がある一方で、攻撃を受けながら被害を自覚していない組織の存在も危惧される。日本の組織は、その規模や扱っている情報の価値を問わず、現在の感染状況の有無を確認するべきだ、とパロアルトネットワークスは指摘している。
2015年06月13日サイバーセキュリティ領域の研究開発活動を展開しているFFRIは6月11日、標的型攻撃対策ソフトウェア「FFR yarai」および個人 PC 向けセキュリティソフト「FFRI プロアクティブ セキュリティ」が日本年金機構を狙う遠隔操作型マルウェア「Emdivi」をリアルタイムに検知・防御が可能であったことを公表した。日本年金機構より基礎年金番号を含む個人情報約125万件流出の件で悪用されたマルウェアは「Emdivi」と呼ばれる種類であると報道されている。FFRIは、日本年金機構を対象とした標的型攻撃で使用されたと見られるマルウェアの検体を入手し、同社製品で検知・防御できるか否かの確認を実施した結果、「FFR yarai Version 2.5.1192(2014年8月22日リリース)-Version 2.6.1294(2015年6月4日リリース)」と「FFRI プロアクティブ セキュリティ Version 1.0.217 (2015年4月24日リリース)」の2製品で検知・防御できることを確認。同製品が導入されていた環境下では、メール添付されていたファイルを仮に実行していたとしても被害が発生していないと考えられるという。FFR yaraiシリーズは、従来のセキュリティ対策で用いられているシグニチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を5つのヒューリスティックエンジンにより、様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御する製品で、官公庁や重要インフラ企業、金融機関など多くの採用実績がある。
2015年06月12日ラックは6月9日、6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を同社が知り得た範囲で整理し、対処方針などを提言する「日本年金機構の情報漏えい事件から得られる教訓」を公開した。このなかで、事件の原因を、公共団体は、国民の多くの個人情報を持っていることから、攻撃者に多くの動機をもたらしているが、公共団体のセキュリティ担当にとっては至極当たり前であると考えられているこの危機意識が、組織全員にまでは浸透せず、理解が進んでいなかったためだと推測。この事件から我々が取るべき行動として、事件・事故前提の組織体制構築社員や職員の意識改革と教育事故対応チームの組織化セキュリティ監視と不正通信の洗い出し事件発生を見越した演習を挙げた。
2015年06月11日ペンタセキュリティシステムズ(ペンタセキュリティ)は6月8日、「韓国から見た日本年金機構の個人情報漏えい事件を語る」と題するコラムを掲載。先日の日本年金機構の情報漏えい問題をセキュリティ企業の観点から解説した。この問題では、日本年金機構の年金情報の管理システムがハッキングを受け、125万人の個人情報が漏えいしており、日本の公共機関としては最大規模の流出となった。コラムでは、今回の事件を語る上で欠かせない「アンチウイルスソフト」「ネットワークセキュリティ」「データベースの暗号化」について以下のように解説している。○アンチウイルスソフトは対策にならない問題の発端となったウイルスが見つかった際、日本年金機構は外部の管理会社から「情報を漏えいできるようなウイルスではない」と報告を受けたため、ウイルス対策の更新以外に特別な対策をしなったという。その結果125万人に個人情報が流出する事態となった。今回の事件では、アンチウイルスソフトが役に立たなかったのが実情だ。アンチウイルスソフトに欠陥があったわけではなく、防ぐことができない攻撃手法であった。アンチウイルスソフトは、実行したプログラムを既存のウイルスの情報リストとマッチングさせ、リストに載っていればブロッグする。逆に考えれば、リストに載っていないプログラムは原則、ブロッグできない。コラムでもアンチウイルスソフトは「新米のハッカーによる攻撃に対する対策としては、十分有効だろう」と裏を返せば、高度な攻撃には即座に対応できないことを指摘している。○ネットワークのセキュリティ対策で済む問題ではない最初にウイルス感染した福岡支部のパソコンは、ネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認された。このことから攻撃手法は「ネットワークセキュリティにおける階層の脆弱性を利用した」と解説している。Web経由での代表的な攻撃は、1次攻撃と2次攻撃に分かれる。1次攻撃は、標的の内部ネットワークへの潜入を試み、一方の2次攻撃はネットワークおよびシステムの支配を試みる。1次と2次の攻撃が成功することで攻撃者が狙うデータを取得できる。今回の事件でいうなら攻撃者の目的は個人情報の取得である。今回の事件は1次攻撃の手段はEメールを利用し、添付ファイルを開封したときに感染したとされている。ネットワーク用のセキュリティ製品の多くは、Webを介して転送されるEメールやWebコンテンツを監視対象にすることができない。コラムでは、「コンテンツはネットワークのL7(OSI 7レイヤによる分類)にてその『正体』が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できない」と指摘している。L7を監視するには「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の必要性があると訴えている。○単なるデータ暗号化では、十分ではないコラムでは、日本年金機構はなぜデータを暗号化していなかったのか疑問視している。「国民の個人情報を扱っている機関として恥を知るべく」と指摘しているように、国家機関の対応として簡単に許されることではない。個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていくなどの特段の措置を取る必要があるという。今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合が出てくる。まず、なりすまし防止への対応と、多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。システムを安全に守るためには、「データ暗号化プラットフォーム」が重要であると述べている。暗号化技術は、個別のシステムだけでなく、ICTシステム全体に適用する必要があるためだ。プラットフォームの導入は、暗号化のコア技術を保有する専門会社に相談することを推奨している。
2015年06月09日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? の続きです。私たちが、年金で知りたいことは、「自分は、どこから、いくらもらえるの?」ということ。だったら老後のための資金を、もらえる先ごとに「公的年金」「企業年金」「個人の蓄え」に分けて考えてみると、全体像が把握しやすい。今回は、もっとも多くの人に関係がある、公的年金で知っておくべきポイント4つについて、年金のプロ、大江英樹さんにお話を伺った。■サラリーマン家庭が特に覚えておきたい、公的年金のポイント4つ「サラリーマン家庭の方は、公的年金について以下のポイントだけはしっかり覚えておいて下さい」と、大江さん。<ポイント1>公的年金は終身給付国から支給される「基礎年金」と「厚生年金」は、一生涯受給できる終身年金だ。基礎年金は、平成26年4月時点では年額で77万2,800円(保険料を満額払い込んだ場合)。基礎年金は物価の変動によって受け取れる金額が変動するので、経済の変化に強い年金ともいえる。厚生年金は、支払った保険料によってもらえる金額が違ってくる。<ポイント2>サラリーマンなら保険料未納はまずない「うちは国民年金の保険料なんて支払っていないけど大丈夫?」と心配する家庭もあるかもしれない。けれども、それも大丈夫。厚生年金保険料という名目で給与天引きされている中に、国民年金(基礎年金)の保険料も含まれているからだ。転職したり自営業だったりしたことがある人以外は、サラリーマンなら年金保険料が未納になっているケースは、まずない。<ポイント3>破綻はまずない「国の年金制度が破綻するという話はよく出ていますが、本来、年金制度は非常に長い時間をかけて制度を変えていくもの。すぐにもらえなくなるといった心配をするのはナンセンスです」と大江さん。将来、公的年金の受け取り開始年齢が上がることはあるが(現在65歳 → 将来的には68歳~70歳)すぐに破綻したり、もらえなくなったりする心配はない。<ポイント4>ねんきん定期便の見方のコツ自分が将来もらえる公的年金額を知るには、年に1回、お誕生日月に送られてくる「ねんきん定期便」を見ればよい。ただし、50歳未満の人については、これまでに払い続けてきた保険料の金額のみで計算された年金の額が計算されている。年金自体は今後も払い続けるため、将来もらえるであろう金額とは異なるため、実際目にすると戸惑ってしまうかもしれない。そんな場合は、 ねんきんネット がおすすめだ。これは、将来の受取り見込額のシミュレーションを試算できるサービス。しかも、「ねんきん定期便」であれば、自分の最新の年金額が1年に1度しか送られてこないが、「ねんきんネット」であれば、いつでも最新の情報をチェックすることができる。公的年金のポイントはこれで整理できた。次回は、「企業年金のポイント3つ」で、もらえる年金の2つ目、企業年金のポイントを整理する。年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月09日・ 「老後が不安」なママ世代の、不安の本当の正体とは? の続きです。「老後が不安」と思っているのに、何の手だても打てないのは、年金制度がわかりづらいから。そこで、年金制度を理解する秘訣を、年金のプロ、大江英樹さんに伺った。■自分は、どこから、いくらもらえるのか? 「社労士(社会保険労務士)さんならともかく、普通の人が知りたいのは、『自分は、どこから、いくらもらえるのか?』ですよね? だったら、それを具体的に考えてみましょう」と、大江さん。実際に「どこから」「いくら」年金をもらえるか、年金の仕組みはこうなっている。 ■もらえる年金(1)国からもらえる「公的年金」まず、上記の図の左側、国からもらえるのが、公的年金だ。何をもらえるかというと、サラリーマンなら、「厚生年金」(基礎年金も含む)。自営業の人なら、「国民年金」だ。「具体的にいくらもらえるのか?」は、毎年、誕生日月に送られてくる「 ねんきん定期便 」を参照しよう。この「ねんきん定期便」を見たことがある読者は、金額の少なさにビックリしたのでは? でも、ご安心あれ。実際にもらえるのは、記載されている金額ではない。実は、「ねんきん定期便」の見方にもコツがあるので、それは次回に詳しく説明しよう。■もらえる年金(2)会社からもらえるのは、「企業年金」次にさきほどの図の真ん中、会社に定年(あるいは一定の年齢)まで勤めた場合にもらえるのが、企業年金だ。このお金は、一度に受け取れば「退職金」、分けて受け取れば「企業年金」と呼ばれる。もらえる金額は、会社の人事部に問い合わせをすれば教えてもらえるそう。「ちょっと前までは、会社の人事部にそんな問い合わせをすると、『会社を辞めるんじゃないか?』なんて勘ぐられたり、そもそも教えてもらえなかったりしましたが、今は多くの会社で、簡単に教えてもらえる時代になりました」と、大江さん。■もらえる年金(3)自分で準備するのが、「個人年金」最後が図の右側、自分で準備する、個人年金だ。年金という名前はついているが、実際には貯蓄や投資信託、株といった、自分の蓄えのことで、自己管理となる。これで年金制度の骨格は整理できただろう。次回は、「公的年金で知っておくべきポイント4つ」として、基本的に誰もがもらえる公的年金のポイントを整理する。年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月08日アトム法律事務所(以下、アトム)は4日、日本年金機構の年金情報125万件流出問題をLINEで弁護士に無料相談できる特別窓口を開設したことを発表した。○年金流出問題もLINEで24時間365日相談できるアトムは4月に、LINEで弁護士に無料相談できるサービスの提供を開始した。同サービスは、開始からわずか1カ月半で友だち登録数が9,000人以上に上り、反響を呼んだ。そこでこの度は日本年金機構の年金情報125万件流出問題を受け、特別窓口を開設した。登録方法は、LINEの「友だち追加」で「@atombengo」と検索、またはQRコードを読み込むことで可能。利用方法としては、アトムにLINEでメッセージを送信するだけの簡単な操作だ。また、秘密厳守も徹底しており、1対1のトークで、登録自体も相談内容もアトムの所員以外は誰も見られない設定となっている。なお、年金情報流出問題の件を相談した後でも、引き続き無料で利用でき、法律問題・トラブルのほか、人生や恋愛まで、あらゆる悩みを相談することができる。
2015年06月05日●「年金機構」の事例は氷山の一角○「年金機構は氷山の一角」、日本だけを狙う攻撃が進行中カスペルスキーは6月4日、日本の企業を広く狙う「Blue Termite」によるAPT攻撃が現在進行中であると発表し、その状況を解説した。なお、Blue Termiteはカスペルスキーによる命名である。冒頭、代表取締役社長の川合林太郎氏は、日本年金機構の年金情報漏えいに絡んだ憶測やデマに近い報道がされているため、今回は事実のみを簡潔に伝えると発言。日本をターゲットにしたAPT(Advanced Persistent Threat)攻撃に関しては、2013年のICEFOGによる事例がある。この発表の際にカスペルスキーのセキュリティチームは、「APTは海外の話ではなくなった」と説明している。翌年2014年には、DARK HOTELと呼ばれる攻撃がアジアで発覚(ホテルのネットワークに不正侵入して宿泊客を狙う。攻撃そのものは7年前から)。これらは、ホテルに宿泊する企業VIPや重要な情報を持っていると思しき人がターゲットにされていた。そして今年、Blue Termiteが発覚した。カスペルスキーによると、Blue Termiteの攻撃は2014年9月から行われていたとのことだ。○感染先IPアドレスの多くが日本。C&Cサーバーも日本なのが最大の特徴同社マルウェアリサーチャーの石丸傑氏は、Blue Termiteの詳細を解説。きっかけは、2014年秋に、健保組合や年賀状を装ったマルウェアメールを発見したこと。健保組合の場合は「Wordファイルのアイコンを持つ実行ファイル」が添付されており、これをダブルクリックするとマルウェアに感染する(自己解凍型ファイルが実行され、ダミー文書の表示とともにマルウェア本体が動き出す)。これだけだと広範囲な攻撃メールのように思われるが、そうではない。Blue Termiteの初期モジュールは、攻撃対象のPCかどうかを判定したうえで、対象と判断した場合に外部への通信プログラム(バックドア)を動作させる。加えて、現在のマルウェアをバージョンアップしたり、攻撃対象ごとにカスタムメイドされたマルウェアを取得したりする。さらに続き、内部ネットワークへの感染拡大を試み、感染PCや内部ネットワークの管理者権限も奪取しようとする。標的ごとに異なるマルウェア行動の一例として、「報道機関」を挙げてみよう。感染したマルウェアによって、そのPCが「報道機関」と判断されると、メールアカウントやブラウザのセッション情報を盗み、重要な情報源となるであろう文書ファイルの窃取を行う。●日本に特化した攻撃、ターゲットにされている業種や機関は?Blue Termiteの最大の特徴は、標的が日本に特化されているだけでなく、攻撃を指令するC&Cサーバーが日本に多く設置されているところにある。カスペルスキーの調査によると、2014年9月から感染PCと指令サーバーの通信を観測してたが、12月からいったん鎮静化。そのあと、今年(2015年)の4月から再び増えているという。ターゲットとなっているのは、政府機関、報道機関、防衛関連、航空宇宙産業、金融業、製造業、エネルギー関連、情報通信と、非常に幅広い。カスペルスキーの観測では、300以上のIPアドレスから通信を確認している。一つの組織で複数のIPアドレスを使うこともあるので、300=組織数ではないが、それなりに広く感染&監視活動が進行しているようだ。カスペルスキーは、情報通信会社からの通信に「c:\windows\system32」フォルダを確認した痕跡があることを問題視している。推測として、クラウドサーバーの基幹部分が乗っ取られた結果、その会社が管理しているクラウドサーバーも乗っ取り可能になっていることを指摘。これが、「C&Cサーバーの93%が日本のサーバー」である根拠とした。○「ウチは大丈夫」と根拠のない自信は捨てよ。誰もが標的になる現状認識をここで川合社長にバトンタッチし、このような状況下で「ウチは感染しない」という根拠のない自信は捨て去り、感染を防ぐテクノロジーに頼るだけでなく、教育や環境、情報の取り扱いを含めた総合的な取り組みが必要と述べた。一件のインシデントで発生するコストは、一般論でいうと中小企業で約56,000ドル、大企業では約649,000ドルにのぼる(1ドル120円で計算すると、56,000ドルは約6,700,000円、649,000ドルは約77,900,000円だ)。これを示したうえで、エンドポイントセキュリティを見直し、脆弱性対策の導入、メール受信環境の再設定(.exeは捨てるか隔離環境に移して従業員が扱えないようにする)、そしてセキュリティコンサルティングを実施して、現状の確認と評価を行うべきとした。
2015年06月04日カスペルスキーは6月4日、年金情報流出で大きな騒ぎとなっている日本年金機構の情報流出の原因と見られる、日本を標的としたAPT攻撃「BlueTermite(ブルー・ターマイト)」に関する緊急会見を行った。会見の冒頭、カスペルスキーの代表取締役社長 川合 林太郎氏は、「今回の会見は特定の団体をやり玉に挙げ、大きな騒ぎになっている事件に火に油を注ぐことが目的ではない」と説明。「今回、ニュースになっているもの以外にも、日本を標的としたAPT攻撃、BlueTermiteが起こっていることが明らかになったことから、これに関して説明を行うとともに、どんなことが起こっているのか、どう対策をとるべきかをお話したいと考えた」と続けた。同社では2013年から日本を標的とした攻撃が行われていること、日本人にとってAPT攻撃が他人事ではないことをアピールしてきたが、「BlueTermiteは100%日本が攻撃対象となっている。三度目の正直で、標的型攻撃は他人事ではなく、日本の企業、団体全てが対策を取るべき事案」(川合社長)と訴えた。BlueTermiteは2014年9月に指令サーバーへの通信を行っていることが確認されている。それ以降、10月~12月にかけては、日によっては百件を超す通信数となっていたが、その後は通信数が減っていた。しかし「今年4月以降、活動が活発化していることが明らかになっている」(カスペルスキー 情報セキュリティラボ セキュリティリサーチャー 石丸 傑氏)としており、再び攻撃者が目的をもって動き出した様子が伺える。マルウェアとしての特徴は、送られている添付ファイル付きメールの文面、添付ファイルのタイトルにはさまざまな種類があり、健康保険を装ったものや、季節の挨拶が書かれたものなどがある。添付されているファイルは自己解凍実行型の.exeファイルが添付されているので、そこに気がつけばファイルを開かずに削除する人が多いと思われるが、「添付ファイルの拡張子を表示しない設定になっている人が多いので、ファイル拡張子を意識することなく、ファイルを開く人が多いのではない」(石丸氏)という。開いた添付ファイルに書かれているテキストは通常のものだが、そのバックエンドで攻撃者のサーバーと通信が行われる。その結果、外部通信用バイパスツールが設置され、マルウェアへの感染、内部ネットワーク管理者権限の取得、他の端末への感染拡大などが行われる。指令サーバー、感染後の挙動、マルウェアという一連の攻撃が行われ、指令サーバーの機能、ファイル名、構成などが同種であるものが多数発見されている。日本年金機構への攻撃についても、この特徴が合致することから、BlueTermiteによる攻撃と推定された。「我々のような対策者側には指令サーバーへの通信を見せない仕組みとなっているため、すぐには気がつきにくい」(石丸氏)標的型攻撃であることから、攻撃対象を確認し、その組織が持っている重要な情報を取得している。2015年5月時点で国内数千ドメインが攻撃者の手中にある模様で、報道機関の例を取ると、メールアドレスやパスワード、IDが、エネルギー関連企業の場合には、保有する施設情報、製造業の場合にはIT資産リストなど、取得している情報に違いがある。「最も被害が大きいと見られる情報通信業では、WindowsSystemファイルへのアクセスが確認された。クラウドサーバー本体へのアクセスがあった模様で、管理者権限まで乗っ取られていた場合には、他社への攻撃、情報収集などが行われている可能性がある」(石丸氏)こうした事態に対し川合社長は、「テクノロジー、教育、環境、情報の取り扱いという4つの柱に則って対策を作るべき」とアドバイスする。「うちは小さい会社だから、狙われている業界ではないといった、根拠のない『うちは大丈夫』という過信を止める。誰もが標的となる可能性があり、送られてくるメールの内容も巧妙化している。被害に遭うことは決して恥ではない。万が一、攻撃にあった場合には警察に連絡し、他の企業が攻撃にあうことがないよう、重要な情報として共有していくべき」(川合社長)セキュリティ製品を提供する企業としてテクノロジーの観点から、エンドポイント対策の見直し、脆弱性対策の導入、.exeはデフォルトで削除ないし、隔離するといったメール設定の見直し、セキュリティコンサルティングの実施により現状の確認と評価を行うことを提言する。また、BlueTermiteへの感染の有無を確認するため、タスクリスト、スタートアップに登録されているかを確認すべきMalware、Toolsのプロセス名を紹介。確認の必要性をアピールした。
2015年06月04日○連想買いの株高日本年金機構が、サイバー攻撃にあい125万件の個人情報が流出していたと6月1日に謝罪会見を開きました。ウイルスに感染したパソコンを経由して、不正アクセスが行われていたというのです。機構の発表によれば、添付ファイルの開封による感染というよくあるパターン。事件を報じた産経新聞は、前身の社保庁時代の「年金履歴のぞき見事件」と異なり、被害者の側面があると紹介しますが、次々と明らかになる事実からは「重過失」の疑いが浮かびます。情報流出が発表された翌日の東京株式市場。ラック、FFRIなど、セキュリティ関連会社の株は、買い気配のまましばらく値が付かずにいました。事件により、セキュリティ対策の需要が高まり、好業績に繋がるという思惑買いと見られます。しかし、ソフトやハードを強化するというテクノロジーからのアプローチだけでは再発防止は夢のまた夢の「セキュリティ0.2」です。○約40台の感染ウイルス感染が発覚したのが5月8日。官公庁へのサイバー攻撃を監視している「内閣サイバーセキュリティセンター」が、不審な通信を見つけ同機構に通報し、当該パソコンを外部ネットワークから遮断します。この迅速な対応だけは、極めて優秀と評価できます。ところが不思議な事実が明らかとなっていきます。添付ファイルをクリックした職員は、5月8日だけでなく、18日にも現れたというのです。この情報だけ見るならば、感染したパソコンは2台のはず。しかし、全国紙Aでは十数台、ほかの全国紙に至っては「約40台のパソコンが不正なアクセスを受けたとみられる」と伝えているのです。パソコンのウィルスはUSB端末やネットワークを介して拡がります。マスコミ各社の報道を総合すると、感染発覚により外部ネットワークから切り離したパソコンを、内部ネットワークに繋いでいた疑いが強まります。ノートパソコンの「無線LAN(Wi-Fi)」をオフにしただけで、通信ケーブルは接続したままだったということでしょうか。これではインフルエンザを発症した社員を、帰宅させずに事務所内で働かせ続けるようなもの。感染拡大は言わずもがなです。○大半はヒューマンエラー個人情報の書き込まれたファイルは、パスワードを設定しなければならないという内規がありました。パスワードをかけておけば、仮に個人情報が流出したとしても、容易に中身が見られることはありません。万が一の情報流出時に、被害を最小限に食い止めるためのルールで、情報管理からみて妥当な対策です。ところが、流出した個人情報の44%にあたる、55万件が未設定でした。鍵をかけていない金庫は、かさばる戸棚に過ぎません。被害を決定づけたのは、従来は堅牢な基幹システム内にあった個人情報を「ファイル共有サーバ」に移したことです。朝日新聞が「パソコン」と表現していることから、パソコンの「ファイル共有機能」かも知れませんが果たす役割は同じです。感染したパソコンは、ここにあった情報を見つけ、外部に送信していたのです。つまり、ここに情報を置いておかなければ、そもそも論として流出する情報はなかったのです。二重三重の人間によるミスと、管理の不徹底という「ヒューマンエラー」の前には、どんな堅牢なセキュリティ対策も「0.2」に成り下がります。○習っていないから知らないまた、発表前に「2ちゃんねる」では内部情報と見られる書き込みが見つかっています。旧社保庁の事件からも、日本年金機構という組織に根ざす、情報を取り扱う事業者としての危機意識の欠如は論外のレベルですが、大なり小なり、どの企業も内包する現代的な課題です。ソフトやハードを強化するだけでは再発防止は不可能です。機構の対応のまずさは特筆に値するとしても、問題の本質は「ヒューマンエラー」にあるからです。早急であり恒久的な対策としては、教育、指導、訓練といった「人」への投資で、これを疎かにしている企業は少なくありません。どれだけ堅牢なセキュリティを施したとしても、身内が無邪気に壁に穴をあけているようでは、防ぐことなどできません。あるいは窓口にやってきたテロリストを応接室に通し、正体が明らかになった後も、行動の自由を許していたとすれば、例え吉田沙保里さんが扮する「安心戦隊ALSOK」でも平和を守ることは出来ません。セキュリティソフトが脆弱だった20世紀、ウイルス被害は珍しいものではなく、某ラジオパーソナリティは買ったばかりのパソコンが感染していたことを繰り返しネタにしています。ところが堅牢なセキュリティシステムが普及するに従い、個人レベルでの危機感は薄れてきます。さらにスマホの普及で、若者世代を中心に、パソコン離れ、電子メール離れが進んだことにより、むしろ危機は増大しているように感じます。○エンタープライズ1.0への箴言不正アクセス対策で欠けている「教育」という視点宮脇 睦(みやわき あつし)プログラマーを振り出しにさまざまな社会経験を積んだ後、有限会社アズモードを設立。営業の現場を知る強みを生かし、Webとリアルビジネスの融合を目指した「営業戦略付きホームページ」を提供している。コラムニストとして精力的に活動し、「Web担当者Forum(インプレスビジネスメディア)」、「通販支援ブログ(スクロール360)」でも連載しているほか、漫画原作も手がける。著書に「Web2.0が殺すもの」「楽天市場がなくなる日」(ともに洋泉社)がある。最新刊は7月10日に発行された電子書籍「食べログ化する政治~ネット世論と幼児化と山本太郎~」筆者ブログ「ITジャーナリスト宮脇睦の本当のことが言えない世界の片隅で」
2015年06月04日日本年金機構は1日、職員の端末に外部からのウイルスメールによる不正アクセスを受け、年金加入者の氏名など約125万件の個人情報が外部に流出したことが5月28日に判明したと発表した。電子メールのウイルスが入った添付ファイルを職員が開封したことで不正アクセスが行われ、情報が流出。流出した情報は、「基礎年金番号、氏名の2項目」が約3万1,000件、「基礎年金番号、氏名、生年月日の3項目」が約116万7,000件、「基礎年金番号、氏名、生年月日、住所の4項目」が約5万2,000件となっている。同機構は、不正アクセスが発見された時点で直ちにウイルスが感染したパソコンを隔離し、ウイルス対策ソフト会社に解析を依頼するとともに、検知したウイルスの除去を進めている。また、警察にも通報して捜査を依頼しているほか、外部への情報流出を防ぐため、全拠点でインターネットへの接続を遮断している。なお、 現在のところ、 基幹システム(社会保険オンラインシステム)への不正アクセスは確認されていないが、さらに精査を行っているという。情報が流出した人については、基礎年金番号を変更し、年金の手続きがあった際には本人確認をした上で手続きを行う。併せて、専用電話窓口を設置して問い合わせなどに対応する。今後は、再発防止のための委員会を設置し、情報セキュリティ対策の強化に取り組むとしている。
2015年06月02日日本年金機構は6月1日、不正アクセスによって約125万件の個人情報が流出したと発表した。なお、年金加入者情報が主に保管されている基幹システム(社会保険オンラインシステム)については不正アクセスが確認されていないものの「精査中」(リリースより)としている。機構によると、流出した情報は主に3つのくくりに分けられる。最も流出件数が多かったグループは「基礎年金番号」と「氏名」「生年月日」の3情報がセットで流出したもので、約116万7000件が流出している。リリースによると、同機構が流出を把握したのは5月28日で、ウイルスが添付されたメールを職員が開いたことによる不正アクセスが原因。職員のPCにデータが保存されており、これが流出したとしている。一部報道では、5月8日にウイルスの感染を確認しており、18日まで不正な通信が行われていたことも確認している。機構は現在、ウイルスに感染したPCをネットワークから切断した上で、契約しているウイルス対策ソフト提供ベンダーに解析を依頼。検知したウイルスは除去しているという。また、外部への情報流出防止の観点から、全拠点でネットへの接続を遮断しているとしている。今回、情報が流出した年金加入者については、システムから確認できる体制を構築し、なんらかの手続きが行われた場合には、本人であることを確認した上で手続きを進めるとしている。また、個別に連絡を行い、基礎年金番号についても変更する。今後は、再発防止策として、情報セキュリティ対策の強化と、外部有識者も含めた原因調査と再発防止のための委員会を設置するとしている。特定の企業、組織を狙った標的型攻撃については、情報処理推進機構(IPA)が5月28日に注意喚起を行ったばかり。2014年度は標的型攻撃と思われる詐欺メールの送信元が日本となるケースが最多になるなど、「日本企業・組織を狙った攻撃インフラが着々と築かれつつある」(IPA)としていた。
2015年06月02日日本では、いまだに家事の多くを女性が担っているのが現状ですよね。しかし、世界ではどんな感じなのでしょうか。それがわかるのが、経済協力開発機構(OECD)が2012年に加盟国に行った、男性と女性の1日あたりの家事に費やす時間、および時間の男女差データです。加盟国35か国中、数値の出ている25か国の衝撃の順位は以下の通り。ちなみにOECDの平均は、男女差は132分(男性141分/女性273分)なので、それを頭に入れながら見ていきましょう。■世界で最も家事時間の男女差が短い国トップ251位:ノルウェイ・・・男女差31分(男性184分/女性215分)2位:スウェーデン・・・男女差53分(男性154分/女性207分)3位:デンマーク・・・男女差56分(男性186分/女性243分)4位:フィンランド・・・男女差73分(男性159分/女性232分)5位:アメリカ・・・男女差87分(男性161分/女性248分)6位:フランス・・・男女差90分(男性143分/女性233分)7位:ベルギー・・・男女差94分(男性151分/女性245分)8位:カナダ・・・男女差94分(男性160分/女性254分)9位:スペイン・・・男女差104分(男性154分/女性258分)10位:ドイツ・・・男女差105分(男性164分/女性269分)11位:オランダ・・・男女差110分(男性163分/女性273分)12位:ポーランド・・・男女差112分(男性157分/女性296分)13位:イギリス・・・男女差117分(男性141分/女性258分)14位:エストニア・・・男女差119分(男性169分/女性288分)15位:スロベニア・・・男女差120分(男性166分/女性286分)16位:ニュージーランド・・・男女差123分(男性141分/女性264分)17位:オーストリア・・・男女差134分(男性135分/女性269分)18位:オーストラリア・・・男女差139分(男性172分/女性311分)19位:ハンガリー・・・男女差141分(男性127分/女性268分)20位:アイルランド・・・男女差167分(男性129分/女性296分)21位:イタリア・・・男女差180分(男性110分/女性290分)22位:韓国・・・男女差182分(男性45分/女性227分)23位:ポルトガル・・・男女差232分(男性96分/女性328分)24位:日本・・・男女差237分(男性62分/女性299分)25位:メキシコ・・・男女差260分(男性113分/女性373分)■日本人男性は韓国人男性の次に家事をしない!家事時間の男女差が短い国、つまり、男女がより平等に家事を分担している国の上位4か国は、見事に北欧の国々で占められています。これらの国々は、ほかの国と比較して女性の家事に費やす時間が短いのも特徴です。次いで、家族を大切にする国民性で知られるアメリカ、事実婚が多く子育てにも平等で取り組むフランスと続きます。日本は残念なことに、メキシコに次いでワースト2位の24位。女性が毎日約5時間を家事に費やしているのに対し、男性は約1時間。男女差が4時間もあるのです!韓国人男性が45分で最も家事に時間を費やしていませんが、日本人男性はそれに次いで短いという不名誉な結果に。「日本人男性は家事を手伝わない」ということがデータで証明されてしまいました。それでは、一体その1時間で日本の男性はどんな家事をしているのでしょうか?それを明らかにするデータもあります。NHK放送文化研究所が行っている国民生活時間調査の2010年度版によると、日本の成人男性が家事に費やしている時間はそれぞれ「炊事・掃除・洗濯」が平日で14分、日曜でも19分。「買い物」が平日14分、日曜は34分。「子どもの世話」が平日で7分、日曜で18分とのこと。「子どもの世話」の数値が特にショッキング!ただし、世の男性の名誉のために付け加えると、国民生活時間調査では、日本の成人男性の家事時間は調査を始めた1995年から直近の2010年まで徐々に増加しています。女性の社会進出が叫ばれる昨今。政府も女性の活躍推進政策を進めているようですが、女性の社会進出のためには家族、とりわけ既婚者の場合は夫の協力が不可欠です。OECDも、調査結果の中で「もし男性と女性が家事を平等に分担したら、女性は(OECD平均で)週あたり5時間が自由に使えるようになる」と言っています。日本の数値に当てはめると、女性は週あたり10時間が自由に使えるようになるんです!日本人男性には、ぜひ北欧諸国をお手本に積極的に家事を担っていってほしいものですね。(文/よりみちこ)【参考】※Work-Life Balance―OECD※国民生活時間調査「日本人の生活時間・2010」―NHK放送文化研究所
2015年05月03日制度変更などに関する報道で注目を集めている確定拠出年金。だが、確定拠出年金を導入している会社の社員で、良く分からないまま運用している人も多いのではないだろうか。そこで今回は、そういう方々に参考していただく意味も込めて、実際に確定拠出年金向け運用商品を提供している運用会社であるフィデリティの社員の方々が、どのような形で運用しているのか、さらにその運用成績はどうなのか、20代、30代、40代のそれぞれ各お一人に直撃した内容を紹介したい。最終回となる今回は、40代のCさんにお話を伺った。――まず、年齢、入社年、確定拠出年金の加入歴を教えていただけますか?41歳、2001年5月入社、2003年6月に加入しました。――確定拠出年金に加入する前の確定拠出年金に対するイメージを聞かせてください。時代の流れに鑑みれば避けがたい"自己責任"に基づく年金制度ですが、肝心の投資教育が行き渡らない間に、制度がスタートした印象があります。従前は企業が自らリスクを取って年金運用していたところを、DC導入企業においては運用方針・投資判断が従業員に委ねられます。制度発足に先んじて、従業員向けの投資教育を徹底的に実施すべきだったと思います。金融・投資リテラシーの面で日本の先を行く米国では、ITバブルの真っ只中で現役を引退した富裕層組と、ITバブル崩壊後の絶好の投資タイミングを逸した組が好対照をなしていまして、あらためて投資教育の重要性を痛感しました。一方、米国などでは学校でも投資教育が盛んになされているようですが、それに比べると日本の遅れは否めません。こうした状況を考えると、個々の自助努力による学習が非常に重要だと言わざるを得ません。さらに、昨今は世界的にマーケットのボラティリティが高いように思えます。60歳に達する時点での運用状況の良し悪しが、退職後の生活資金の多寡を決めかねないことを思えば、DCもある程度は運に左右されるとのイメージは拭えません。――日本の年金制度の将来への考え方はいかがでしょう。デフレ・増税・財政破綻リスクは増大していますので、自助努力が必要でしょう。――老後にどれだけの資産が必要と考えていますか?資産運用では、プラスのキャッシュフローを持つことが極めて大事と考えます。長生きリスクを思えば、現金で総額いくらもっていれば安心、ということはありません。生活費程度のキャッシュフローを終身で生み出してくれる、プラスのキャッシュフローのポートフォリオづくりが必要ではないでしょうか。具体的には、リスク分散も年頭におきながら、長期債、REIT、ディフェンシブな高配当株式、収益賃貸マンションや終身年金(公的・私的を問わず)等々でポートフォリオを構築し、生活費程度の定期収入が見込める資産設計を立てるべきだと思います。――確定拠出年金で、老後はどう変わると思っていますでしょうか?現状の掛け金レベル(月間で上限5万5千円)であれば、退職金の一部程度との認識です。運用成績によって受取金額が大きく変わってくるので、DCだけに依存するつもりはありません。一方、DCは60歳まで引き出すことができませんので、その間は"投資シュミレーションゲーム"、つまり長期投資のための良き勉強の場と考えます。――ご自身のポートフォリオについて教えてください。グローバル・マクロの3~6カ月のトレンドをフォローします。パッシブ運用をベースに、マクロ経済の状況に適ったポートフォリオを構築し、3~6カ月単位で見直します。――投資先、投資商品選びの基準はいかがでしょう。低コストの投資信託、シンプルなポートフォリオ、基本はパッシブ運用です。ただし、パッシブでは運用し難い資産クラス、たとえばハイ・イールド債券などについては、アクティブな運用商品を選択します。――確定拠出年金加入以来の運用成績を教えてください。プラス7.33%です。――どのくらいの頻度で資産の入れ替えを行っていますか?グローバル・マクロ経済の状況に鑑み、3~6カ月ごとに行っています。各国の金融政策・財政政策、各国のファンダメンタルズをベースに、自分なりのマーケットの方向性を考えます。投資対象のIndex(TOPIXや日経平均、NYダウなど)の過去1年以上のチャートを見て、移動平均線とのかい離とマーケット転換のサインを見ながら、自身が考えるマーケットの方向性を修正し、リバランスのタイミングを検討しています。――どのくらいの頻度でDCの資産状況をチェックしているのでしょうか?週に1回程度です。――お忙しい中、ありがとうございました。
2015年04月29日制度変更などに関する報道で注目を集めている確定拠出年金。だが、確定拠出年金を導入している会社の社員で、良く分からないまま運用している人も多いのではないだろうか。そこで今回は、そういう方々に参考していただく意味も込めて、実際に確定拠出年金向け運用商品を提供している運用会社であるフィデリティの社員の方々が、どのような形で運用しているのか、さらにその運用成績はどうなのか、20代、30代、40代のそれぞれ各お一人に直撃した内容を紹介したい。第2回目となる今回は、30代のBさんにお話を伺った。――まず、年齢、入社年、確定拠出年金の加入歴を教えていただけますか?34歳、2005年入社、確定拠出年金加入歴は10年です。――確定拠出年金に加入する前の確定拠出年金に対するイメージを聞かせてください。超高齢社会の中、個人のリスク許容度に応じて自己責任で年金管理できることは大変有難い制度だと感じていました。――日本の年金制度の将来への考え方はいかがでしょう。祖父・祖母を見ていると、恩給もあり生活に充分な水準の年金を受け取っていますが、私自身が老後を過ごしているであろう70代半ばのころ、日本では65歳以上人口が4割程度を占めるまで高齢化が進むと言われています。そのような中で、年金は生活の基盤にはならず、余剰資金程度に考えておく覚悟でおります。こうした現実を義務教育のころから伝え、自己責任で運用することの重要性とその術を習得させることが必要であると考えます。――老後にどれだけの資産が必要と考えていますか?フィデリティでは退職直前の年収の7割弱が必要であると推計しています。個人的には、65歳人口が4割程度となるに際して、年金受給額の減少、シニア向けサービス価格の上昇や各種税金の引き上げ、寿命の伸びなども踏まえると日本に生活基盤を持つ限りいくらあっても足りないと思います。それらに備えているか否かで、現役世代以上に格差が生じると危惧しており、海外移住などの選択肢に対応できる充分な資金力を身につけたいと今から感じています。――確定拠出年金で、老後はどう変わると思っていますでしょうか?前述の通り、国民年金だけでは生活がまかなえない時代に突入すると思われ、その意味でも確定拠出年金の重要性は高まると思います。その際に、投資教育を受けたか否か、若年層時代に適正なリスクをとって運用してきたか否かなどで、結果が大きく変わり老後の生活水準を左右すると思います。また、運用上限の引き上げ又は確定拠出年金にプラスして年金運用のための税制控除プランなどが導入されることを期待したいです。――ご自身のポートフォリオについて教えてください。短期での投資先の変更は行いませんが、市場動向に応じて中期的には配分の変更をしています。現在の年齢であれば、万が一資産が毀損した場合には、給与を資産運用に振り向けて老後資金を作り挽回することも出来ると思っておりますので、時折リスクは取りながら分散投資を行っています。ただDC以外で、短期的な資金としてリスクを取って運用しているものに比べれば、DCはあくまで堅実な運用が軸となります。――投資先、投資商品選びの基準はいかがでしょう。平常時は債券運用にて中長期のインカムの積み上げ効果を享受するように運用しています。ただ、リーマンショックや欧州危機などイベント時には大きく値が下がった際にはリスクを高めて中期的なリターンを狙う商品に半分程度ウエイトを置くこともあります。――確定拠出年金加入以来の運用成績を教えてください。加入来の平均利回りは4.2%と順調に運用しています。欲張らずに時間をかけて育てていければと思っています。――どのくらいの頻度で資産の入れ替えを行っていますか?不定期です。平常時は殆ど変更しません。上にも下にも大きく相場が動いた時に適宜見直しを行っています。足元では、アベノミクス以前に日本株が割安に放置されていると感じてウエイトを高めましたのでパフォーマンスに貢献してくれています。――どのくらいの頻度でDCの資産状況をチェックしているのでしょうか?別途個人的に運用している証券口座は適宜チェックをしていますが、確定拠出年金口座については郵送で送られてくる資産状況の確認と、気付いたときにwebにて確認する程度です。――お忙しい中、ありがとうございました。
2015年04月28日NECは4月8日、国際刑事警察機構(インターポール)がシンガポールに開設したThe INTERPOL Global Complex for Innovation(IGCI)の中に設置された「インターポール・デジタル犯罪捜査支援センター(The INTERPOL Digital Crime Centre)」に中核システムの納入を完了したと発表した。センターは、IGCIの原動力となる施設で、その活動は、サイバー犯罪の捜査支援、デジタル犯罪やデジタルセキュリティの研究など、各国当局に必要な様々な領域に及んでいる。センターのフル稼働はこの4月からを予定している。NECは、インターポールの新施設の立ち上げに向け、デジタル犯罪捜査のために様々なシステムや要員を提供する。
2015年04月09日○確定拠出年金では、元本保証型以外の商品を利用するのがおすすめ若い人ほど公的年金に頼れなくなってきている今、"自分年金"を作るためのツールとして「確定拠出年金」を導入する企業が増えています。確定拠出年金とは、加入者(社員)が自分の専用口座に毎月一定額を積み立てて、それを投資信託などで運用していく仕組み。運用がうまくいけば将来受け取れる年金が増えます。だから、どのように運用するかは真剣に考える必要があります。とはいうものの、たいていの人は運用に慣れておらず、用意されている金融商品をどのように選んでいいかわからないないというのが実情。下手なことをして積み立てたお金が減っては困ると考えて、とりあえず預金や保険など元本保証型の商品を選んでいるというケースが多いようです。でも、元本保証型の商品は今、非常に金利が低いため、お金を殖やすことはできません。また、確定拠出年金は事務にかかるコストなどが積立金から差し引かれるので、低金利の元本保証型の商品だけでは、場合によってはコスト割れする可能性があります。確定拠出年金は積み立てている間に得られた利益には税金がかからないのがメリット。元本確保型の商品では、このメリットが活かせません。たいていの人は、すでに貯金や保険を保有しているはずなので、確定拠出年金では元本保証型以外の商品を利用して、ある程度のリターンを目指すのがおすすめです。○自分で考えなければならないのは"資産分散"では、確定拠出年金ではどのような商品を選べばよいのでしょうか。運用で大切なのは"分散"です。分散には、"時間分散"と"資産分散"の2つがあります。確定拠出年金は、毎月一定の商品を一定額で買っていくので、自動的に時間分散ができています。自分で考えなければならないのは"資産分散"です。運用を1種類の商品だけで行っていると、その商品が値下がりしたときに資産全体が目減りしてしまいます。そうならないよう、値動きの違うタイプの商品を組み合わせて分散させることが大切。この組み合わせのことを"ポートフォリオ"といいます。確定拠出年金で提供されている金融商品の多くは投資信託です。投資信託にもいろいろなタイプがあるので、異なるタイプの投資信託を組み合わせて、自分なりのポートフォリオを考えましょう。投資信託は、投資先(地域)と投資対象によって分類することができます。投資先は、大きく分けると日本と海外。投資対象はおもに、株、債券、不動産です。これを仕分けると、下の図のようになります。投資先が日本の場合は"円"で運用し、海外の場合は、米国のドルなど海外の通貨で運用することになります。通貨は、一方が上がればもう一方が下がるというシーソーのような動きをするので、日本と海外の両方に投資しておけば、資産の目減りを防ぐことができます。特にこの先、日本は人口が減って経済が縮小し、円安に向かうと考えるなら、海外の資産への投資は重要です。株は一般的に、景気がよくなると値上がりし、景気が悪くなると値下がりします。債券は逆に、景気がよくなると値下がり、悪くなると値上がりする傾向があるので、両方に投資すれば、景気のよしあしの影響を受けにくくなります。また、株のほうが値動きが大きいぶん大きな値上がりが期待できるのに対して、債券は値動きが安定しています。不動産は、株と債券の中間くらいといえるでしょう。○若いうちは株の投資比率を高くし、年齢が上がるにつれて債券の比率を高める基本的には、日本の株と債券、海外の株と債券の4つでポートフォリオを作ります。ただ、たいていの人は、預金を通して日本の債券に投資しているので、日本の株、海外の株、海外の債券に投資すればOK。さらに分散を図るのであれば、日本の不動産と海外の不動産を加えればよいでしょう。あとは、それぞれへの投資比率を決めてポートフォリオを完成させます。一般的に、若いうちは株への投資比率を高くし、年齢が上がるにつれて債券の比率を高めていくのがよいといわれています。また、資産を殖やすことを優先するのであれば株の比率を高く、資産全体の値動きを抑えたいのであれば債券の比率を高くします。例えば、積極的に資産を殖やそうと考えるなら日本株50%、海外株50%債券を加えて値動きを安定させたいと考えるなら日本株40%、海外株40%、海外債券20%幅広く分散投資して値動きを抑えたいと考えるなら日本株30%、海外株30%、海外債券20%日本の不動産10%、海外の不動産10%といった具合です。投資対象や比率は途中で変更することができます。確定拠出年金を運用する期間は長期にわたるので、経済情勢や個人のライフプランの変化に合わせて比率の見直しを行うとよいでしょう。運用は「わからない」「難しい」といって逃げてしまいがちですが、投資先・投資対象で分類して組み合わせるというシンプルなやり方でよいのです。10年後、20年後に後悔しないために、今、きちんと考えておきましょう。○執筆者プロフィール : 馬養雅子(まがい まさこ)ファイナンシャルプランナー(CFP認定者)、一級ファイナンシャルプランニング技能士。金融商品や資産運用などに関する記事を新聞・雑誌等に多数執筆しているほか、マネーに関する講演や個人向けコンサルティングを行っている。「図解初めての人の株入門」(西東社)、「キチンとわかる外国為替と外貨取引」(TAC出版)など著書多数。新著『明日が心配になったら読むお金の話』(中経出版)も発売された。また、ホームページのURLは以下の通り。
2015年03月26日