老後のライフプランを実現するための老後資金の準備方法というと、個人年金保険を思い浮かべる方も多いと思いますが、その他の方法もありますので、いくつかみていきましょう。預貯金普通預金や定期預金を利用して、準備していく方法があります。一定額になるまで普通預金等で積み立て、その後一定期間、定期預金に預けるという方法です。定期預金は、普通預金と違って、預けたお金の出し入れは簡単にできません。その分、金利が普通預金よりも高めに設定されています。個人年金保険と比べると中途解約をしても元本割れはしませんので、流動性は確保されているといえます。ただ流動性が良いことを逆視点でとらえると、確実に老後の生活費を準備していくという点では、安易に使ってしまうことができることから、弱点になる可能性があります。投資信託運用によるリスクは高いですが、逆にリターンも大きくなる可能性があり、少額から積み立てることができる投資信託を、老後の生活費の準備資金に利用することも可能です。投資信託とは、多くの人が出資したお金を集めてひとまとめにし、運用のプロが運用を行い、そこで出た利益を出資した額に応じて配分します。ただ、プロが運用するからといって、必ずしも利益を生むわけではなく、元本割れの可能性もあります。必要な老後の生活費を投資信託だけで準備していくことは、元本を保証していないため、リスクがあるということを知っておきましょう。確定拠出年金確定拠出年金とは、私的年金のひとつで、拠出された掛金が個人ごとに明確に区分され、掛金とその運用収益との合計額をもとに年金給付額が決定される年金制度です。掛金金額を確定し、運用商品のなかから、加入者等自身が運用指図を行います。そのため、年金金額は運用により変動します。確定拠出年金は、「企業型」と「個人型」があります。企業型確定拠出年金を実施している企業に勤めている方は、「企業型」を利用することになりますし、自営業者や、企業年金を実施していない企業に勤めている方は、「個人型」を利用することができます。確定拠出年金は、支払った掛金額が全額所得控除になります。年金保険料として支払った金額が控除されるため、税制面では有利といえます。運用商品は、預貯金、公社債、投資信託、株式、信託、保険商品等から選ぶので、選択によっては、元本割れの可能性もあることには注意が必要です。さまざまな準備の方法を組み合わせるこのほかにも、老後の生活費を準備していくために利用できる商品はあります。特徴を理解し、自分に適した商品をいくつか組み合わせて、各方法で資金のリスク分散をはかり、老後の準備をしていくことを考えてみてはいかがでしょう。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年11月12日老後のライフプランを考える上で、欠かせないのが年金の知識です。「ねんきん定期便」が発行されるようになり、自分が将来年金をどれくらい受け取ることができるかを調べやすくなりましたが、公的年金がどれくらい支給されるものなのかをご存じですか?3階建てと称されることが多い公的年金。1階部分にあたるのが、全ての国民が加入する義務のある国民年金となります。2階部分にあたるのが、平成27年10月1日から、会社員だけでなく公務員および私学教職員も加入することになった、厚生年金となります。 そして3階部分にあたるのが、会社独自の年金制度である企業年金となります。公務員および私学教職員独自の上乗せ制度である職域部分は廃止となりました。しかし、平成27年10月1日前に年金権を有する方や加入期間を有する方は、施行日以後においても、加入期間に応じた職域部分が支給されることになります。また、平成27年10月1日以降に関しては、3階部分として新たに公務員制度となる「退職等年金給付制度」が設けられました。図1 年金制度の体系図資料:日本年金機構ホームページ「年金制度の体系図」をもとに作成基礎年金の支給額と開始年齢1階部分にあたる国民年金に基づいて支給される年金を基礎年金といいます。そのうち老齢基礎年金は原則として65歳から、国民年金に加入して20歳から60歳になるまでの40年間の全期間保険料を納めた場合に満額支給されます。その金額は定額で、年額780,100円(平成27年4月分からの金額)となっています。厚生年金の支給額と開始年齢2階部分にあたる年金を厚生年金といいます。そのうち、老齢厚生年金は、厚生年金の被保険者期間があって、老齢基礎年金を受けるのに必要な資格期間を満たした方が65歳になったときに、老齢基礎年金に上乗せして老齢厚生年金が支給されます。なお、生年月日に応じて支給開始年齢が段階的に61歳から65歳へと引き上げられていますので、自分の場合はどうなのかをご確認いただきたいと思います。定額年金である老齢基礎年金とは違い、老齢厚生年金は、保険料も年金支給額も加入期間の収入(平均報酬額)に応じて金額が異なるため個人差は大きいといえるでしょう。(公財)生命保険文化センターによると、老齢基礎年金と老齢厚生年金を合計して150万~250万円くらいの年金支給を受けている人が多いようです。会社員の方は年金事務所、公務員および私学教職員の方は担当部署に尋ねると、現在の状態が定年まで継続したと仮定して算出した年金額の目安を知ることができます。個人差が大きいので一般論ではなく、ぜひ自分の場合はどうなのかを確認することをおすすめします。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年11月12日個人年金保険を検討する際に、チェックしておきたいポイントに「返戻率」があります。返戻率とは?返戻率と書いて「へんれいりつ」と読む、この言葉。その意味をキチンと整理していきましょう。これは、個人年金保険の払込保険料総額に対して、どれだけの年金総額を受け取ることができるのかを表したものです。返戻率が高いほど、払込保険料総額に対して、たくさんの年金を受け取ることができます。返戻率ってどうやって計算するの?返戻率を計算するには、保険料とその払込期間、そして受け取ることができる年金総額のデータをそろえましょう。例えば、毎月1万円の保険料を20年間払い込む契約であった場合、払込保険料総額は、1万円×12カ月×20年間=240万円になります。そして、払込終了後、10年間、毎年40万円を受け取ることができるとすれば、受け取ることができる年金総額は、400万円になります。返戻率は、「受取年金総額÷払込保険料総額×100」で計算されます。先ほどの例をこの式にあてはめると、「400万円÷240万円×100≒166」つまり、返戻率は、約166%ということになります。年金総額が260万円なら、「260万円÷240万円×100≒108%」になりますし、年金総額が500万円なら、「500万円÷240万円×100≒208%」になります。つまり、受取年金総額が高くなればなるほど、返戻率が高くなるということをイメージいただけたでしょうか?返戻率と予定利率は別物であることに注意!個人年金保険を検討する際に、よく目にする言葉に「予定利率」というものがあります。これは、保険会社が契約者に対して約束する運用利回りのことを指します。ただし、支払った保険料全てが運用に回されるわけではなく、人件費等の諸経費が差し引かれた後の、いわゆる純保険料のみが運用されます。それに対して、返戻率は先述したとおり、実際に払い込む保険料に対して、どれくらいの年金額を受け取ることができるかを表したものなので、同じように「率」はつきますが、予定利率とは全く異なるものです。返戻率は個人年金保険を検討する際、必ず確認しておきたい大切なポイントです。この返戻率は、各保険会社が販売している年金保険商品によって異なるだけでなく、受取方法や、払込期間等の契約内容によっても異なる場合があることには、注意をしておきましょう。用語の意味を正確に理解して、個人年金保険の検討をしたいですね。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年11月06日老後に備えて加入を検討する方も多い個人年金保険。「他の人は、将来どれくらいもらえるような個人年金保険に加入しているのだろうか?」と、気になることはありませんか?個人年金年額の平均(公財)生命保険文化センター「平成24年度生命保険に関する全国実態調査」によると、世帯(夫婦)の個人年金保険の基本年金年額は117.2万円が全体平均となっています。月額にすると、約97,000円を受給できる計算になります。世帯(夫婦)の個人年金保険の基本年金年額(全生保)資料:(公財)生命保険文化センター「平成24年度生命保険に関する全国実態調査」をもとに作成ライフステージ別にみてみると…まず、世帯(夫婦)の個人年金保険の基本年金年額をライフステージ別にみてみると、40歳未満の夫婦のみが最も低くなっています。子どもがいる世帯では子どもの教育費を準備している時期は基本年金年額が低くなっていますが、子どもが高校生以降、つまり教育費の準備が終了した後は、自分たちの老後について考える余裕が生まれるからでしょうか、基本年金年額は増える傾向にあります。そして、60歳以上の高齢夫婦(無職)の世帯の基本年金年額が最も大きくなっています。また、子どもの成長に合わせて、少しずつ老後生活の準備のために、個人年金保険について関心が高まっていくものと考えられます。自分の場合はどうか?個人年金保険の基本年金年額の平均値はあくまでも目安としてとらえることをおすすめします。自分たちが思い描く老後のライフプランにはどのようなことが盛り込まれ、その実現にはどれくらいお金がかかるのかを、まずは具体的に考えてみることが必要です。その上で、公的年金や預貯金計画を考慮し、どれくらいの不足が生じてくるかを考えてみましょう。確かに、将来において個人年金をたくさん受け取ることができるのに越したことはありません。しかし、現在における負担が重くなりすぎて、日々の生活だけでなく、住宅購入やお子さまの教育費等々の準備に支障が出てくることも考えられます。無理のない範囲で必要な年金額および準備を始める時期を見極めていきたいものですね。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年11月04日公的年金に対する不安から、関心の高い方が多い個人年金保険。しかし、個人年金保険と一口にいっても、さまざまな種類があることをご存じですか?年金の受取期間による分類まず、年金の受取期間により、「確定年金」「終身年金」「夫婦年金」の大きく3つに分類されます。それぞれの内容を整理してみましょう。「確定年金」は、文字通り、契約時に定めた一定期間、年金が受け取れる個人年金です。一定期間は被保険者の生死に関係なく受け取れますので、年金受取期間中に被保険者が死亡した場合は、残存期間分は年金か一時金で遺族などに支払われます。なお、年金受取期間前に被保険者が死亡した場合は、それまでに払い込んだ保険料相当額が死亡保険金として支払われるのが一般的です。「終身年金」は、契約時に定めた年齢から被保険者が死亡するまでの間、年金を受け取ることができる個人年金です。「終身」ですから、死亡したら年金支払いがストップしてしまいます。もしも年金を受け取り始めてすぐに死亡してしまった場合、受取年金総額が払込保険料総額を下回ってしまう可能性があります。そのため、一般的には生死に関係なく年金が受け取れる期間、保証期間をつけた「保証期間付終身年金」として販売されることが多く、保証期間中に被保険者が死亡した場合は、保証期間の残存期間に対応する年金、または一時金が遺族などに支払われます。「夫婦年金」は、「夫婦連生終身年金」ともいいますが、夫婦いずれかが生存している限り年金を受け取ることができる個人年金です。やはり、保証期間がついた商品もあります。年金の運用方法による分類次に、年金の運用方法による分類をみていきましょう。まず、契約時の予定利率により積立運用を行うのが、「定額年金」です。定額年金は、運用の成果に関わらず、契約時に将来の受取年金額が確定します。定額年金は安定的ではありますが、運用環境によっては予定利率が低いこともあります。一方、リスクはありますが、価格変動幅の大きい金融商品などで年金原資を運用し、運用効果を高めることを目的とする年金商品もあります。それが、「変額年金」です。変額年金は、年金額が運用実績によって変動します。株や投資信託など金融商品での運用実績に応じて将来の年金額が大きくなる可能性もありますが、その逆の可能性、つまり、将来の受取年金総額が払込保険料総額を下回る場合もあるので注意が必要です。なお、変額年金では、元本(払込保険料総額)は保障されませんが、最低保証金額が定められている場合もあります。さまざまな種類がある個人年金保険。その内容や特徴をよく理解して、加入を検討したいものです。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年09月17日長女に届いた一通の手紙長女の大学の費用をやっとのことで準備したF家であったが、伏兵は思わぬところからやってきた。伏兵の名は、「国民年金」である。平成3年4月から、学生であっても20歳になった時から国民年金への加入が義務付けられたのであるが、当時すでに大学を卒業し、社会人になっていた両親はそのニュースに接することもなく、日本年金機構から長女あてに届いた「国民年金被保険者資格取得届書」を見て、初めてその事実を知ったのであった。1カ月15,590円(平成27年度)。これが、これから長女が毎月支払っていく国民年金の金額だった。長女の大学の費用をぎりぎり用意できたF家にとって、この金額は衝撃的であった。F家の台所事情は、長女の学資保険だけでは大学入学時の費用を賄うことができず、たまたま同時期に満期を迎えた次女の学資保険の高校入学祝い金を流用してしのいだことから、その切迫度がうかがえる。次女が公立高校を選んだことで、この「目的外使用」が可能となったわけであるが、今話題の祖父母等による「教育資金一括贈与」ではこのような目的外使用は許されない。使い道に制限のない学資保険だからこそできた「荒業」であった。いったいどうやって払うのか「どうしよう……。」ダイニングテーブルに置いた国民年金被保険者資格取得届書を前に、長女由里子(仮名)は途方に暮れてしまった。家計に余裕のないことは、由里子もよくわかっていた。「バイトを増やそうか?」由里子は力なくつぶやいた。実際は部活と授業のスケジュールがいっぱいで、いま以上にバイトに割ける時間はほとんどない。「でも、15,590円も稼ごうと思ったら、だいぶ働かないとだめなんじゃないの?」母も、由里子のスケジュールが過密であることはわかっていた。「時給900円だとして、約17時間働かないといけないわよ。」母が電卓で計算した数字を示しながら言う。「17時間か~、それは厳しいかも……。」由里子はため息をついた。「バイトのために勉強がおろそかになったりしたら、何のために大学に行ったのかわからなくなるぞ。」ここまで沈黙を守っていた父が突如として正論を吐いた。「学生納付猶予制度」とは「そんな本末転倒なことになっているはずがない。何か猶予制度のようなものがあるはずだ。どこかに書いていないか?」由里子は父のほうを見、日本年金機構からの書類を改めて見直した。確かに「学生納付猶予制度」という記述がある。「でもこれ、私も対象なの?」由里子は半信半疑な面持ちで書類を見直した。「よく読んでみなさい。大事なことなんだから。」父も横から書類をのぞきこんでいる。「<学生については、申請により在学中の保険料の納付が猶予される『学生納付特例制度』が設けられています。 本人の所得が一定以下の学生が対象となります。なお、家族の方の所得の多寡は問いません。>って書いてあるわ!もしかして、私も対象かも!」由里子ががぜん元気を取り戻し、はずんだ声で言う。「本当なの?」と母が心配そうに書類を手元にひっぱりよせながらつぶやく。「うまい話には必ず落とし穴があるものよ。よく読まないといけないわ。ここに書いてある、<老齢基礎年金を受け取るためには、原則として保険料の納付済期間等が25年以上必要ですが、学生納付特例制度の承認を受けた期間は、この25年以上という老齢基礎年金の受給資格期間に含まれることとなります。ただし、老齢基礎年金の額の計算の対象となる期間には含まれません。>このあたりがちょっと気になるわね。」由里子も母の手元から書類をひっぱり寄せながら、「どれどれ、そういえば……<将来、満額の老齢基礎年金を受け取るために、10年間のうちに保険料を納付(追納)することができる仕組みとなっています。>ここのところも気になるわ。大学を卒業した後、10年以内に大学時代に猶予された保険料を納めないといけないということ?」「それは違うと思う。『追納することができる』ということだから、義務ではないはずだよ。」父が由里子の手元の書類を見ながら言った。「じゃあ、この、『老齢基礎年金の受給資格期間に含まれるけど、老齢基礎年金の額の計算の対象となる期間には含まれない』というところは?」「老齢年金をもらうには、25年以上保険料を納めた実績が必要だけど、学生納付特例制度を使って保険料を納めなかった期間も、その実績に含めてくれる、でも、保険料を納めたことにはならないよ、という意味だろう。」「そういう意味か!お父さんすごい!」由里子が父を見て言った。「でもそれは、将来受け取る年金が少なくなるということでしょ?やっぱり無理をしても納めておかないと老後になって困るんじゃないの?」母はまだ浮かない顔をしたままだ。「保険料を後から追納できる制度だって、<保険料の後払い(追納)は、保険料が高くなることはあっても、安くなることはありません。>って書いてあるし、やっぱり由里子の将来のために何とかして納めておいたほうが安心なんじゃないかしら。」「……。」3人とも黙ってしまった。母が意を決したように、ややこわばった表情で話しだした。「今、本当に困ったときのための貯蓄が50万円あるの。そこから毎月半額の7,800円ほどを出して、それに、由里子が少しバイトを増やして、あとの半額を出して納める、というのは無理かしら?だって、老後は年金が頼りという人がとても多いらしいわよ。」「由里子が大学を卒業するまでの2年分は何とか賄えたとして、真由子(仮名・次女)の分はどうするんだ?」父が難しい顔をして言った。「そもそも由里子の大学入学のために、真由子の学資保険を使い込んでいる状態だろ?」借金してでも払うべき?「『教育ローン』は?!」由里子が突然思いついたように言った。「国の教育ローンを借りて、まとめて払ってしまうの。友達から、国の教育ローンの利率はかなり低いって聞いたことがあるわ。この書類に、国民年金は2年分前納すればおトクって書いてあるし、それに、後払いの場合保険料が高くなるんでしょ?教育ローンの利率によっては、借りてでも払った方が有利になるってこともあるんじゃない?」「確かに国の教育ローンは年2.15%の固定金利(※1) だから、利率はかなり低い。」父がいつの間にかノートパソコンを持ってきて、画面を見ながら言った。「仮に今、平成17年度の分を追納しようとすれば、保険料は約9.6%増し(下表参照)になるから、理屈の上では教育ローンを借りて、保険料を納めておいた方が有利だったかもしれない。平成17年の教育ローンの利率がわからないのではっきりしたことはいえないが。しかし、2年以内に追納すれば、追納による加算はないようだし、第一、お金を借りて保険料を払う、ということにお父さんは抵抗を感じるぞ。」母と由里子は顔を見合わせた。父が話を続ける。「もし、学生納付特例制度がないのだったら、お父さんも無理をしてでも払うことに賛成だ。しかし、せっかく特例制度があるのだから、ここは無理せず、この制度を利用したらどうだ?」父はさらに続ける。「この制度は、保険料を納めていない学生の間も保険料を払っていた期間と見なしてくれ、後から保険料の追納もでき、猶予期間中に万一重い障害を負った場合には、それまで保険料を納めたことがなくても障害年金が支給される、なかなかいい制度のようだぞ。それに、“保険料の追納は、保険料が高くなることはあっても、安くなることはない”、とはいっても、2年以内に追納した場合は、元の保険料のままで、高くなることはない。お母さんの言う50万円は、想定外のことが起こったときのために、手をつけるべきではないと思う。まだ真由子の進路も決まっていないこともあるし。お母さん、どう思う?」母も父の提案に納得した面持ちで、しみじみと言った。「真由子が進学するときは、もう少しゆとりのある資金計画にしたいわね。」父がため息をついて言った。「そうだな、やっぱり教育資金はぎりぎりではまずかったな。お父さんが大学生の頃は、学生は国民年金に入らなくてもよかったので、てっきり今もそうだと思い込んでいた。この国民年金の支払いがもし義務だったら、破綻していたかもしれない。本当に思いがけないところに死角があったな。」由里子が両親を励ますように、明るく言った。「真由子は優秀だから、きっと奨学金がもらえるよ!」父がたしなめるように言う。「由里子、奨学金だって借金なんだぞ!」「返済不要の給付型だってあるんだよーっ!」言い返す由里子。それを聞いた母が、「人のことを言っていないで、あなたももらえるように勉強しなさい!(※2)」「うわ、やぶへび、やぶへび!」由里子は部屋から逃げ出した。子どもの国民年金保険料を視野に入れた資金計画をこうして、F家の平穏を破る1通の手紙「国民年金被保険者資格取得届書」がもたらした波紋は収束した。猶予制度があるとはいえ、納付を希望する学生にとって国民年金の保険料は決して軽い負担ではない。親が代わって支払うとしても、1歳違いの兄弟が大学に進学した場合は、1年以上(※3)2人分の保険料を納付することになる。平成27年度なら月に31,180円となり、家計から捻出することが困難な家庭も少なくないのではないか。教育資金を準備するにあたっては、20歳からは学生であっても国民年金を納付する義務が生じることも視野に入れた計画になるよう、注意する必要がある。※1 2015年7月10日現在。※2 返済不要の給付型の奨学金は成績優秀者を対象にしていることが多い。※3 子どもの誕生月によって異なる。2人とも4月生まれなら2年間。※掲載されている情報は、最新の商品・法律・税制等とは異なる場合がありますのでご注意ください。
2015年08月24日日本年金機構は20日、不正アクセスにより個人情報が流出した人に対し、新しい基礎年金番号を24日から通知すると発表した。 対象は、個人情報が流出した約101万人のうち、6月に詫び状を送付した約96万人(年金受給者約52万人・被保険者約43万人、2015年8月14日時点)。○簡易書留で送付、9月中には全員に発送送付内容は、基礎年金番号を変更した旨と新しい基礎年金番号を記載した書類、新しい年金手帳、年金証書もしくは基礎年金番号通知書。簡易書留により順次送付し、9月中には対象者全員に発送する予定という。同機構は利用者に対し、改めて謝罪するとともに、二次被害が発生することのないよう最大限の努力を続けていくとしている。
2015年08月21日日本年金機構からの情報流出事件で攻撃に使われたのが「Emdivi」と呼ばれるマルウェア。年金機構の事件で話題になったが、各セキュリティベンダーの調査では、長期間にわたって活動していたマルウェアで、特に「日本を狙った攻撃」であることが特徴とされる。特定の組織を狙った標的型攻撃だったため、これまでセキュリティソフトに検出されにくかったようだが、こうしたEmdiviのようなマルウェアを悪用したっ標的型攻撃も「事前に検出可能だった」と主張するのが、FFRI 社長の鵜飼 裕司氏だ。こうした標的型攻撃を同社の製品がどうして検出できるのか、話を聞いた。○年金機構を襲ったマルウェア「Emdivi」を検知できた「FFR yarai」FFRIは、企業向けメインのセキュリティソフト「FFR yarai」を提供する。このyaraiは、特に標的型攻撃に対して威力を発揮する製品として、国内で40万台超のPCで稼働しているという。このFFR yaraiに対して、同社が入手したEmdiviの検体で試験をしたところ、攻撃をブロックできたという。FFR yaraiは2009年にリリースされたセキュリティソフトだが、当初より鵜飼氏は、従来のパターンマッチング型のマルウェア対策には限界があると考えていた。パターンファイルを使って、マルウェアと照合する方法は、マルウェアが少しでも変更されると検知できず、亜種が増えれば増えるほど、パターンファイルの量が膨大となり、システム負荷も高くなり、効率も悪くなる。標的型攻撃は、特定の組織を狙ってカスタマイズされているため、検体を入手しづらく、その検体からパターンファイルを作成するため、検体が手に入らなければ検知もできない。こうしたパターンファイルの弱点を補完する形で、FFRIが研究してきたのがヒューリスティックによる検出方法で、「メタな情報に着目して、怪しさを判別して検知するようにした」(鵜飼氏)ものが FFR yaraiのベースとなっている。FFR yaraiのポイントは、この"怪しさの定義"で「黒(マルウェア)を黒と見分ける技術」が重要になるという。FFR yaraiに搭載されている技術は5つのヒューリスティックエンジンで、「いろいろな専門的な立場でプログラムを分析」してマルウェアを検知する。Adobe Readerなどの脆弱性を悪用する攻撃は「ほぼ止められる」としており、USBメモリ経由やEXEファイルのまま送られるような場合でも、5つのエンジンのいずれかがブロックするそうだ。鵜飼氏によれば、実は標的型攻撃に悪用される高度なマルウェアは「通常のプログラムとかけ離れているので検知しやすい」という。逆に、パターンファイルが得意とする「通常のプログラムに近い(偽アンチウイルスといった)マルウェア」は検知しづらいという。Emdiviは、日本年金機構の攻撃で使われた検体だけでなく、さまざまな日本の組織を狙った亜種が出回っているようで、同社が入手した検体も数種類あるという。そのいずれも、FFR yaraiでは検出し、防御できていたそうだ。○FFR yaraiの独自エンジンとは?このFFR yaraiのエンジンには、機械学習エンジンも含まれており、いろいろなマルウェアのメタデータを分析し、ロジックを機械学習して検知を行っているが、それ以外の4つのエンジンは、「攻撃者の立場に立ってロジックの研究をしている」と鵜飼氏。このエンジンのロジックは、年2回程度のアップデートで常に強化をし続けているという。「ヒューリスティックでやっていくのに大事なことは、後手後手(の対策)から脱却すること」と鵜飼氏は強調する。現在の攻撃技術を分析し、どのようなマルウェアが使われているかを検証し、それに対抗するためのロジックはどういうものが必要か、という研究をするにあたって、将来的に発生しうる攻撃を、犯罪者より「先に開発する」というわけだ。そのロジックを組み込んでおけば、攻撃者がその攻撃手法を開発したとしても、すでに対応できるようになっている。鵜飼氏は、「攻撃技術に関する研究は大事であり、彼ら(攻撃者)を後手後手にしていくのが重要」と話す。こうした結果、2009年以降「連戦連勝」だという。標的型攻撃は、官庁などの政府系組織から大手企業をはじめ、さまざまな企業が狙われている。特定の業種業態だけが狙われているわけでもないため、企業などは狙われる前提で対策を取る必要があるだろう。それについて鵜飼氏は、「自分たちの組織が今どうなっているのか、可視化するのが重要」と指摘する。そのためには、セキュリティ企業の診断サービスを受けることもできるし、FFRI自身もそうしたサービスを提供している。とはいえ、「コストを抑えて把握する方法はある」と鵜飼氏。FFR yaraiは無料評価版も配布しているため、これを使うことで「少なくとも現状はわかる」という。こうしたツールを使うことで、まずは現状を把握し、例えばすでに狙われている場合もあるだろうし、組織内の弱点がわかれば、改めてセキュリティ強化の対策につなげることができる。○東京五輪がセキュリティに及ぼす影響は?将来的な攻撃において、鵜飼氏が懸念しているのは、2020年の東京五輪だ。「IoTオリンピックとも呼ばれている」と語るが、その頃にはさまざまなIoTデバイスが市場に出まわっている可能性は高い。それに対して、「問題は、どんなIoTが広まっているか」と鵜飼氏。将来が予測しづらいために、鵜飼氏も「いろいろ考えなければならないことが多い」と苦笑する。鵜飼氏は、総務省でのセキュリティ対策のための会合にも参加しつつ、予測をして、対策を考えていく。「スマートフォンオリンピック」と呼ばれたロンドン五輪は、さまざまなサイバー攻撃があったものの、「取りあえず乗り切った」。それがさらにIoTオリンピックになると「どこの国も経験したことがない状況になるため、世界からの攻撃が集まる可能性があるとして、「現実的なコスト感で、かつITがフルに利活用できるような状況を、我々セキュリティ屋さんも考えていきたい」としている。○Windows 10はセキュリティの分水嶺また、Windows 10について、鵜飼氏は「普及する可能性がある」とコメント。Windows 8から大きなセキュリティ上の変化があり、Windows Defenderが標準搭載された点をポイントとして挙げる。パターンマッチング型のマルウェア対策がOS標準で入り、それがWindows 10でも同様に標準搭載されることになるため、これを搭載したWindows 10が普及することで、パターンマッチング型のマルウェア対策がそれでカバーできるようになるとみている。一方で、ヒューリスティック型の対策を得意とするセキュリティベンダーが海外でも幾つか出てきており、今後はパターンマッチング型のマルウェア対策と入れ替わっていくことが予想される。しかしながら鵜飼氏は、「エンドポイントでこうした商品を出したのは、世界でも一番早かったと思っている」という開発の蓄積と技術力に自信を見せ、「他社とはけっこう差が開いている」とも話していた。
2015年08月12日日本年金機構による個人情報流出事件が連日報道されていたが、サイバー攻撃による被害は堪えることがない。われわれはどうしたら、自分の端末や個人情報を守ることができるのだろうか。今回、ウェブルートのマーケティング最高責任者のデイヴィッド・ダンカン氏に、サイバー攻撃が高度化する今日に有効なセキュリティ対策について話を聞いた。○従来のセキュリティ対策製品ではもう守りきれない初めに、ダンカン氏は従来のオンプレミス型のセキュリティ対策製品では、新たな脅威に対応しきれないことを指摘した。「例えば、シグネチャ・ベースのウイルス対策ソフトは、脆弱性が発見されてからシグネチャを作成して配布するため、エンドユーザーがシグネチャを入手できるまで時間がかかってしまいます。また、検出される脅威の数は増える一方であり、すべてのシグネチャをタイムリーに作成することは困難です」(ダンカン氏)そのほか、ファイアウォールは「エクスプロイト攻撃を理解できない」といった短所を、攻撃シグネチャ・ベースでマルウェアを検出するIPSは「浅いアプリケーション分析」「高い誤検知率」といった短所を抱えているという。昨今では、1日に2万5000個の不正なURL、6000個のフィッシングサイト、8万5000個の悪質なIP、79万の未知のファイル、12万個のマルウェアが検出されており、シグネチャ・ベースの製品では、この膨大な数の脅威に対抗しきれないというわけだ。そこで、同社が効果がある対策として提案するのが、クラウドコンピューティングを活用したセキュリティ・サービスだ。○クラウドベースのデータ分析で未知の脅威のふるまいを予測ダンカン氏は、クラウドを活用して未知の脅威に関する膨大なデータを解析して、脅威を予測することで防御すべきと語る。同氏は、クラウドベースのセキュリティ対策のメリットとして、「端末にインストールしないので、バッテリーの消耗が抑えられること」「脅威に関する情報をクラウドに接続している端末で共有できること」「ネットワークさえつながれば、どこにいても保護されること」を挙げる。ダンカン氏によると、不正なURL、IP、ファイル、アプリは検出されることを逃れるため、常に変化しているそうだ。そこで、同社はクラウド上で独自の機械学習エンジンを利用してPCのふるまいを記録・分析しているという。これにより、脅威のルールを見出して見えない脅威を予測し、対策を講じているというわけだ。実のところ、"クラウドベース"のセキュリティ対策製品を提供しているベンダーはウェブルートだけではない。ダンカン氏に、同社が提供するクラウドベースのセキュリティ・サービス「BrightCloud Security Services」は、競合のサービスとどう違うのかを聞いてみた。まず、「BrightCloud」は数百万のOEMパートナーのネットワークとエンドポイントからデータを収集しているため、分析対象のデータが膨大な量となっている。さらに、BrightCloudでは、エンドポイントからのデータは30秒ごとに収集しており、URLは200億個、IPは40億個、ファイルは70億個検出して、分析を行っている」(ダンカン氏)という。同社のパートナーには、ヒューレット・パッカード、パロアルト・ネットワークス、インテルなどの大手ベンダーが名を連ねており、各社の製品にBrightCloudが組み込まれている。そして、収集したデータは、前述の機械学習エンジンによってふるまいが分析される。具体的には、「リスクが高いことがわかっているWebサイトにもかかわらず開いてしまう」といった人間のふるまいをベースに解析が行われているという。そして、BrightCloudではふるまいを解析することで、これまで見たことがないIP、URL、ファイル、モバイルアプリについて、悪質なものであるかどうかを予測する。○ユーザーを邪魔せず効果をもたらすことが大切さらに、ダンカン氏はセキュリティ対策製品として、重要な要素を説明してくれた。同氏は、セキュリティ対策製品は、ユーザーの邪魔にならないよう、かつ、ユーザーが見えないように動作することが大切だと話す。加えて、ユーザーの端末のパフォーマンスを阻害しないことも必須だ。これらを実現しながら、製品の効果を上げるには、リアルタイムで処理することが求められているという。その点、BrightCloud Security Servicesは、クライアントにインストールするエージェントは1MBにも満たないため、負担がかからない。また、ユーザーに対しては、データが改竄されるなどのセキュリティ侵害を受ける可能性があることを認識したうえで、被害を受けた時に迅速に対処できるようなソリューションを持っているべきとアドバイスする。インターネットを利用するなら、未知の脅威との遭遇を常に想定しておかなければならない現在、自分の端末や情報を守るには、脅威を予測して手を打つことが必須なのかもしれない。
2015年07月29日住信SBIネット銀行は、日本年金機構において5月28日に判明した年金情報(最大で「基礎年金番号」「氏名」「生年月日」「住所」の情報)流出事案に関して、同機構より(1)顧客に電話すること、(2)顧客にお金を要求すること、(3)顧客にATMの操作をお願いすること、(4)顧客の個人情報(家族構成など)を確認することはないとして、注意喚起している。○日本年金機構や年金事務所を装った詐欺や個人情報の詐取が想定される(1)から(4)に加え、年金情報流出事案を悪用し、日本年金機構や年金事務所を装った以下のような手口による詐欺や個人情報の詐取が想定されるという。(5)顧客の通帳・印章やキャッシュカードを預かること(6)キャッシュカードの暗証番号やインターネットバンキングのパスワードを聞き出すことまた、日本年金機構や年金事務所以外にも、住信SBIネット銀行の職員または関係者、全国銀行協会職員、警察官などを装った(1)~(6)の手口による詐欺や個人情報の詐取も想定されるので、あわせて注意してほしいとしている。
2015年07月28日タカラバイオは7月24日、歯髄細胞を用いた再生医療の開発について、再生医療推進機構と共同で行うことに合意したと発表した。歯髄細胞は、ヒトの乳歯や親知らずといった、これまで廃棄されていた脱落歯や抜去歯から容易に採取することができ、再生医療への利用が有望視されている。今回の合意にもとづいて両社は今後、歯髄細胞の拡大培養法や凍結保存法などについて研究および開発を進める。タカラバイオは、同共同研究開発を通じて、再生医療に利用可能な歯髄細胞の調製技術の開発や歯髄細胞の培養に適した培地など製品の開発を行い、同技術を応用した再生医療製品の製造開発受託サービスの提供や培地など製品の販売を目指すとしている。
2015年07月27日厚生労働省はこのほど、2014年度の国民年金の加入・保険料納付状況を発表した。それによると、自営業者などが加入する国民年金保険料の納付率は2014年度に前年度比2.17ポイント上昇の63.05%となり、3年連続で上昇した。年代別の納付率を見ると、55~59歳の74.62%が最も高く、次いで50~54歳が67.37%、40~44歳が62.17%と続いた。また、若い世代の20~24歳は同2.95ポイント上昇の59.27%、25~29歳は同3.1ポイント上昇の52.98%と、納付率は低かったものの伸びが大きくなっていた。都道府県別の納付率を見た場合、最も高かったのは島根県で76.71%、以下、新潟県の75.27%、富山県の74.38%と続いた。反対に最も低かったのは沖縄県の45.17%、次いで大阪府の53.98%、東京都の58.77%となった。納付率を市区町村の規模別に見ると、町村が66.56%で最も高かった一方、政令指定都市は57.49%、東京23区は56.14%と、低い傾向にあることが判明。また前年度比については、政令指定都市で2.44ポイント上昇、東京23区で1.46ポイント上昇、その他の市で2.22ポイント上昇、町村で2.22ポイント上昇し、前年度に続いて全ての規模で上昇した。
2015年06月29日日本年金機構への標的型と思われる攻撃があり、少なくとも125万件の個人情報の漏えいが判明したとの発表が6月1日(日本年金機構内で確認された日は5月28日)にありました。報道によると、攻撃にはメールを利用。年金機構内にあるコンピュータの利用者に実行させ、マルウェアを感染させるという旧来から利用されている手口でした。初めのメールは、5月8日に公開アドレスへ送られてきた3通のメールによって始まります。URL記述型:メールそのものにはマルウェアは添付されておらず、マルウェアをダウンロードさせるためのURLが記述されているタイプファイル添付型:メールそのものにマルウェアが添付されており、実行をうながすタイプこの事件を知り、「うちは大丈夫か? 対策は何か?」と考えた場合、多くの方が条件反射的に思いつく対策は「怪しいメールの開封、添付ファイルの実行、記述されたURLへアクセスしないようにする」といったものではないでしょうか。世の中には「標的型攻撃メールの対応訓練」といったものを実施している組織や実施したいと考える組織に対してサービスを提供している組織があります。この記事をお読みになられている方の中にも、この訓練を経験した方がいらっしゃるかもしれません。今回は、この訓練について、日本年金機構の標的型と思われる攻撃による情報漏洩事件を踏まえて考えてみようと思います。筆者は、この訓練について、実施方法や取り組みへの姿勢を誤ると、セキュリティ対策をするどころか実施の意義が薄れ、組織のセキュリティレベルを下げかねないものであると考えています。その理由を説明するには、訓練がどのように行われてきたかということを見る必要があります。まず、訓練はどのような目的のために行われるのでしょうか。筆者は以下のような理由で行われる訓練をよく見かけてきました。「送られてきたメールが標的型攻撃のためのものであると気付き、開封や添付ファイルの実行、記述されたURLにアクセスしないようにするため」そして、こうした訓練は複数回実施されるケースが多く、1度目に訓練メールを開いてしまった方には何かしらの教育や注意を行い、1回目と2回目の開封率を比較するというものがよくあります。そうすることによって開封率を下げるというわけです。しかし、それで本当に良いのでしょうか。開封率が下がることで必ずしもリスクが低減されたと言えるのでしょうか。筆者はこのことについて懐疑的な立場です。例えば、グループAとグループB、それぞれ100人いる2つのグループが訓練を実施したとします。その結果が以下のようになったとしましょう。グループA: 100人中1人が開封(開封率1%)グループB: 100人中10人が開封 (開封率10%)開封率を下げることによって必ずリスクが低減されるというのであればグループAが良い結果であり、数字だけで判断するならばリスクによるダメージもグループBに比べ低いと言えることになるでしょう。しかし、もう少し踏み込んで考えてみてください。開封した方の属性が以下の通りだったらどうでしょうか。グループA: 開封した1人が役員クラスまたはシステム管理者グループB: 開封した10人すべてが一般社員アクセスできる範囲はどちらの方が広く、情報の量が多いと言えるのでしょうか。多くの場合はグループAという結果になります。10人の一般社員よりも、1人の役員やシステム管理者の方が、アクセスできる範囲や閲覧できる情報は多く重要度も高いわけです。これらは容易に想像できますし、実際にそうなっている組織が殆どでしょう。開封率が下がれば下がるほど、残存するリスクが同じように減っていくのであれば開封率にのみ着眼した訓練は大いに意味のあるものであると言えると思います。ただ、実際には開いた人の属性が関係してくる可能性を含むため、開封率の低下と同じように残存リスクが低下しないケースが存在するということです。また、攻撃者は1台でも端末を感染に持ち込むことができれば、内部のネットワークへの侵入が完了することになります。そこから遠隔操作によって感染端末を操り、侵入範囲の拡大を行なっていきます。それを防ぐためには1台でも感染を許さないということ以外にありません。果たしてそんなことが可能なのでしょうか?筆者はそうあり続けることは現状不可能といっても過言ではないと考えています。つまり、私たちは圧倒的に不利な状況であるわけです。攻撃者には勝つことはできませんが、1つ目の壁を突破されたとしても負けにはならないための対策、意識が必要とされているのだと筆者は考えています。明日公開の後編では、訓練に関する"とある実験"の結果や年金機構のメール文を例に、メールテストの正しい利用法について解説していきます。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji
2015年06月23日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? ・ 公的年金で、サラリーマン家庭が特に知っておくべきポイント4つ ・ 年金の中で一番わかりにくい、企業年金を理解するためのポイント3つ ・ 事実上の退職金、企業型確定拠出年金のポイント3つ の続きです。確定拠出年金は、老後の資産形成の柱のひとつ。今回は、個人型の確定拠出年金について、ポイントを、年金のプロ、大江英樹さんに伺った。■個人型確定拠出年金は、現在、誰が加入できるのか? 現在、個人型確定拠出年金に加入できるのは、下記の図の通り「自営業・無職」の人か、「企業年金のないサラリーマン」だけ。大江さんいわく、「個人型の確定拠出年金は、とても良い制度なのに、入れるのに入っていない人のほうが多く、利用しているのは入れる人の10分の1未満。もっと、広報されていくべき制度だと思います」。■個人型確定拠出年金は、今後制度の拡大が決定2015年4月、個人型確定拠出年金に加入できる人が拡大する法案が国会に提出されている。ただ、この法案が通ってもこれから制度の細かい制定やシステム構築に取りかかるので、2017年頃を目途に制度がスタートするのでは? というのが専門家の意見。制度がスタートすれば、下記の図の通り、ほとんどの人が個人型の確定拠出年金に入ることができるようになる。■個人型確定拠出年金は、自分で年金をつくる最高の方法大江さんは言う。「実は個人型確定拠出年金こそ、自分で年金をつくる最高の方法なんです」。確定拠出年金。その名前を聞いただけで、現段階では難しそうな感じがすると思うが、今から2年後の2017年を目途に、認知度はグンと上がり、もっとポピュラーなものとなっているはず。その時になって慌てないためにも、「確定拠出年金」という言葉だけでも、頭の片隅にインプットして欲しい。今回は、Woman.exciteママで初めて年金の特集をしたので、年金の全体像をザッと眺める特集となったが、今後折をみて、確定拠出年金の運用方法の特集も考えている。確定拠出年金についてもっと詳しく知りたい人は? ◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月21日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? ・ 公的年金で、サラリーマン家庭が特に知っておくべきポイント4つ ・ 年金の中で一番わかりにくい、企業年金を理解するためのポイント3つ の続きです。近年、確定「拠出」型の企業年金の制度を導入する会社は増えている。それに伴い、世の中に「確定拠出年金」という言葉は広まりつつあるが、多くの人が「会社で確定拠出年金が導入されたけれど、よくわからない」というのが現状だ。そこで、企業型確定拠出年金を理解するためのポイントを、年金のプロ、大江英樹さんに伺った。■会社が潰れても大丈夫、企業型確定拠出年金のポイント3つ<ポイント1>節税になる「自分の分として会社から割り振られたということは、企業型確定拠出年金は収入!?」と思う人がいるかもしれない。たしかに、会社からもらえるお金という意味では収入だが、税金の計算をする時は収入から差し引いて計算される。その結果、税金を抑えることになる(これは確定給付年金の場合も同じ)。また、運用で得た利益や、運用したお金を年金や退職金として受け取る時にも、企業型確定拠出年金には、税制上の優遇がある。<ポイント2>会社が潰れても大丈夫確定「給付」型の年金の場合、勤めていた会社が潰れた時には、本来もらえるはずのお金が守られる保証はない。けれども、確定「拠出」型の場合は、すでに自分の口座に割り振られているので、それまでの分には何の影響もない。<ポイント3>60歳までは絶対に引き出せない確定拠出年金は、60歳までは絶対に引き出せない。これは一見デメリットのようだが、確実に老後資金を貯めるという視点で考えてみると、メリットであるともいえる。こうしてポイントを整理してみると、確定拠出年金は、とても良い制度。使わない手はないのでは? という気になる。「あまりPRがされていないので、世の中には知られていませんが、確定拠出年金は、老後試算形成の柱のひとつなのです」と、大江さん。でも、「うちの夫の会社には、企業型確定拠出年金がないかも!?」という人もいるだろう。そこで次回は、「個人型確定拠出年金のポイント3つ」と題し、個人型の確定拠出年金のポイントを整理する。確定拠出年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月19日ラックは16日、遠隔操作ウイルス「Emdivi」(エンディビ)に感染している国内企業が増加しているとして、注意を喚起した。Emdiviは日本年金機構における個人情報流出の原因と報道されているウイルスで、これに不安を感じた企業からの調査依頼により感染が判明するケースが多くみられたという。同社が運営する、情報セキュリティに関する事件や事故、懸念に対応する「サイバー救急センター」の調査では、Emdiviが発見された事例数が2015年6月に過去最高となった。しかし、それらの感染時期は2014年末と推定され、「Emdiviに感染していながら気付いていない企業が多く存在している可能性がある」として、注意を呼びかけた。標的型サイバー攻撃では、特定の組織や個人が反応してしまう、周到に用意された詐欺メールを送付。添付ファイルなどから感染したPCに対し、第三者の企業のPCを踏み台(攻撃拠点)にして指令を出し、重要な情報を継続的に窃取する。ラックでは、組織全体の防御レベル向上を図るだけでなく、セキュリティを突破された際の対策、復旧手段を日頃から訓練しておくことが重要だと指摘。情報の暗号化やダミーの混入といった施策などを、セキュリティ専門家と検討しておくことが必要だとしている。
2015年06月16日ゆうちょ銀行はこのたび、8月3日からゆうちょ銀行で公的年金の自動受取りを利用している顧客に、1年定期の金利を優遇する「年金 金利優遇キャンペーン」を実施すると発表した。○年金 金利優遇キャンペーン概要受付期間:8月3日(月)~8月31日(月)内容:キャンペーン期間中、ゆうちょ銀行で公的年金(国民年金・厚生年金・共済年金・恩給など)の自動受取りを利用している顧客に、1年定期(自動継続扱い)の金利を優遇する利用までの流れ:(1) キャンペーン期間中に総合口座通帳を提示し、ゆうちょ銀行で公的年金の自動受取りを利用していることを確認する。(2)1年定期(自動継続扱い)の店頭表示金利+0.1%(税引後0.079685%)の金利優遇が受けられるキャンペーン期間中、一人一回に限り100万円まで利用できる。ゆうちょなら日本全国に店舗・ATMがあるので、旅行中や引越し先でも便利に利用できるとしている。
2015年06月15日先日、日本年金機構に不正アクセスが発覚し、約125万件の個人情報が流出したと発表された。その原因は、近年、官公庁や企業を狙って急増している"標的型メール攻撃"。クオリティソフト株式会社は、6月18日(木)、今回の事件の手口や防御方法、今企業に必要なセキュリティ対策について解説するセミナー「~125万件の年金情報が流出~公認情報システム監査人が解説する、個人情報流出事件の手口と対策」を東京にて開催する。○公認情報システム監査人や日本マイクロソフトのセキュリティアドバイザーが登壇今回のセミナーは、3部構成。第一部ではシスコシステムズ合同会社のセキュリティビジネス事業推進担当部長で、"公認情報システム監査人"の資格を持つ楢原盛史氏が、「年金情報流出事件の概要とその手口」について解説を行う。第二部は「標的型攻撃の脅威と企業に必要な情報セキュリティ対策」について、クオリティソフト株式会社の山﨑誠司氏が語る。また第三部には、日本マイクロソフト株式会社チーフセキュリティアドバイザーである高橋正和氏が登壇。攻撃の傾向から見る今後のセキュリティ対策について解説する予定だ。年金情報流出事件のような標的型攻撃は、その手口がますます巧妙化。もはや従来のウイルス対策ソフトだけでは、防御が不十分とされている。情報漏えいなど取り返しのつかない被害を受けてからでは手遅れ。この機会に、本セミナーで最新のセキュリティ対策について知見を得てはいかがだろうか。セミナーへの申し込み、詳細は以下のサイトを確認してほしい。なお、受付は先着順で、定員になりしだい締め切られる。○セミナーの詳細は以下の通り開催日時: 2015年6月18日(木) 15:00~17:00参加費: 無料(事前予約制)開催会場: AP東京八重洲通り 7階 Pルーム(東京都中央区京橋1丁目10番7号)定員: 140名詳しくはこちら
2015年06月15日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? ・ 公的年金で、サラリーマン家庭が特に知っておくべきポイント4つ の続きです。私たちが、年金で知りたいことは、「自分は、どこから、いくらもらえるの?」ということ。だったら年金制度を、もらえる先ごとに「公的年金」「企業年金」「個人年金」にわけて考えてみると、全体像が把握しやすい。今回は、企業年金で知っておくべきポイント3つについて、年金のプロ、大江英樹さんにお話を伺った。■年金制度のわかりにくさの元凶? 企業年金を理解するためのポイント3つ<ポイント1>企業年金とは、給与の後払いのことである「企業年金という言葉自体が、実は年金制度の理解を難しくしているんです」と、大江さん。では、どう考えればいいのだろう?「『企業年金とは、給与の後払い』であると理解したほうが、ずっとスッキリします。アメリカでは公的年金をSocial Security、企業年金のことをBenefitと呼びますが、こちらのほうが実態を上手に表現した言葉かもしれません」。<ポイント2>企業年金は、分けて受け取る退職金会社を定年退職した後にもらえるお金としては、退職金と企業年金がある。この2つの違いについてもどう違うのか迷ってしまう。「名前と受け取り方が違うだけで、実態は同じものです」。こちらも図にして、視覚的にイメージしてみよう。 <ポイント3>企業年金には、2つのタイプがある企業年金のうち、分けて受け取る年金型には、下記の図のように2つのタイプがある。・退職後に貰う金額が確定しており、会社が一括してそのお金を管理・運用する=確定「給付」型・お金を出すのは会社だが個人が自分の分を管理・運用し、その成果次第で退職後に貰える金額が異なる=確定「拠出」型確定拠出年金は、従業員ひとりひとりに口座が割り当てられ、会社が出した掛け金が従業員の口座に割り振られる。確定拠出年金の場合は、従業員は、割り振られた自分の分のお金を自分で運用することになる。近年、確定「拠出」型の企業年金の制度を導入する会社は増えている。それに伴い、世の中に確定拠出年金という言葉は広まりつつあるが、多くの人が「会社で確定拠出年金は導入されたけれど、よくわからない」というのが現状だ。今後、世の中に広まっていくことが必須の確定拠出年金。次回は、「企業型確定拠出年金のポイント3つ」を取り上げ、企業型の確定拠出年金のポイントを整理する。年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月15日パロアルトネットワークスは6月12日に、Backdoor.Emdiviを用いた標的型攻撃の解説と、標的型攻撃による被害を出さないためのセキュリティ対策について解説した。これは、6月上旬に発生した100万件を超える規模の個人情報漏えい事件を受けてのもの。この事件は2013年以降に日本の組織を狙った攻撃で利用されているマルウェアBackdoor.Emdiviにより発生したと推測されている。Backdoor.Emdiviは侵入先のコンピュータから機密情報を盗み取るトロイの木馬と呼ばれるマルウェアの1つだ。改良された亜種も含め、複数の攻撃グループにより日本の企業や組織を狙った攻撃手段として用いられてきた。なお、11日にFFRIが年金機構を狙ったEmdiviを検知したと発表している。Backdoor.Emdiviによる攻撃手法は、ダウンロード役のマルウェア(ドロッパー)を仕込んだゼロディの脆弱性を突いたエクスプロイトコードを含むファイルや、WORDやPDFのアイコンに偽装したEXEファイルを、ターゲットとしている組織にメール送信することから始まる。このような経路で端末が感染するとBackdoor.Emdivi本体がインストールされる。その結果、HTTPベースでC&Cサーバーと通信を行い、様々な攻撃が行われる。Backdoor.Emdiviの場合、そのほとんどが日本国内で構築されたC&C サーバーと通信を行うのが特徴だ。その結果、攻撃が日本に特化した形で行われたと推測される。2014年11月ジャストシステムは一太郎の脆弱性について発表したが、この際に用いられていたマルウェアの一つがBackdoor.Emdiviだった。また、健康保険組合などの医療費通知に偽装したスピアフィッシング型のメールが多くの日本企業に送られた事件が同時期にもあったが、この時標的型攻撃に用いられたのもBackdoor.Emdiviだ。このようにBackdoor.Emdiviを用いた標的型攻撃は、巧妙に進化しながら日本の組織を狙い続け、その被害は後を絶たない。パロアルトネットワークスの調査によるとメールを経由としたマルウェア攻撃は他国と比べても高く、日本は標的型攻撃が成功しやすいと推測できる。その結果、日本が集中して攻撃グループに狙われている可能性も否定できない現状だ。パロアルトネットワークスによれば、標的型攻撃から個人情報などの重要データを守るためには、標的型攻撃における一連の流れ「サイバーキルチェーン」を断ち切ることが重要だという。例えば、Backdoor.Emdiviでは以下の攻撃プロセスがある。感染:エクスプロイトコードを含むファイル、偽装したファイルによる感染侵入:Backdoor.Emdivi (マルウェア)の侵入目的の実行:C&Cサーバーとの通信によるデータの破壊・盗難しかし、攻撃を許してもプロセスを途中で断てば被害には遭わない。それぞれの段階に対抗するソリューションを用意することで被害は抑えられる。しかし、様々なベンダーの単体ソリューションを組み合わせて利用すると、企業のIT投資コストと管理コストを圧迫する恐れがある。様々な対策がある一方で、攻撃を受けながら被害を自覚していない組織の存在も危惧される。日本の組織は、その規模や扱っている情報の価値を問わず、現在の感染状況の有無を確認するべきだ、とパロアルトネットワークスは指摘している。
2015年06月13日サイバーセキュリティ領域の研究開発活動を展開しているFFRIは6月11日、標的型攻撃対策ソフトウェア「FFR yarai」および個人 PC 向けセキュリティソフト「FFRI プロアクティブ セキュリティ」が日本年金機構を狙う遠隔操作型マルウェア「Emdivi」をリアルタイムに検知・防御が可能であったことを公表した。日本年金機構より基礎年金番号を含む個人情報約125万件流出の件で悪用されたマルウェアは「Emdivi」と呼ばれる種類であると報道されている。FFRIは、日本年金機構を対象とした標的型攻撃で使用されたと見られるマルウェアの検体を入手し、同社製品で検知・防御できるか否かの確認を実施した結果、「FFR yarai Version 2.5.1192(2014年8月22日リリース)-Version 2.6.1294(2015年6月4日リリース)」と「FFRI プロアクティブ セキュリティ Version 1.0.217 (2015年4月24日リリース)」の2製品で検知・防御できることを確認。同製品が導入されていた環境下では、メール添付されていたファイルを仮に実行していたとしても被害が発生していないと考えられるという。FFR yaraiシリーズは、従来のセキュリティ対策で用いられているシグニチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を5つのヒューリスティックエンジンにより、様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御する製品で、官公庁や重要インフラ企業、金融機関など多くの採用実績がある。
2015年06月12日ラックは6月9日、6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を同社が知り得た範囲で整理し、対処方針などを提言する「日本年金機構の情報漏えい事件から得られる教訓」を公開した。このなかで、事件の原因を、公共団体は、国民の多くの個人情報を持っていることから、攻撃者に多くの動機をもたらしているが、公共団体のセキュリティ担当にとっては至極当たり前であると考えられているこの危機意識が、組織全員にまでは浸透せず、理解が進んでいなかったためだと推測。この事件から我々が取るべき行動として、事件・事故前提の組織体制構築社員や職員の意識改革と教育事故対応チームの組織化セキュリティ監視と不正通信の洗い出し事件発生を見越した演習を挙げた。
2015年06月11日ペンタセキュリティシステムズ(ペンタセキュリティ)は6月8日、「韓国から見た日本年金機構の個人情報漏えい事件を語る」と題するコラムを掲載。先日の日本年金機構の情報漏えい問題をセキュリティ企業の観点から解説した。この問題では、日本年金機構の年金情報の管理システムがハッキングを受け、125万人の個人情報が漏えいしており、日本の公共機関としては最大規模の流出となった。コラムでは、今回の事件を語る上で欠かせない「アンチウイルスソフト」「ネットワークセキュリティ」「データベースの暗号化」について以下のように解説している。○アンチウイルスソフトは対策にならない問題の発端となったウイルスが見つかった際、日本年金機構は外部の管理会社から「情報を漏えいできるようなウイルスではない」と報告を受けたため、ウイルス対策の更新以外に特別な対策をしなったという。その結果125万人に個人情報が流出する事態となった。今回の事件では、アンチウイルスソフトが役に立たなかったのが実情だ。アンチウイルスソフトに欠陥があったわけではなく、防ぐことができない攻撃手法であった。アンチウイルスソフトは、実行したプログラムを既存のウイルスの情報リストとマッチングさせ、リストに載っていればブロッグする。逆に考えれば、リストに載っていないプログラムは原則、ブロッグできない。コラムでもアンチウイルスソフトは「新米のハッカーによる攻撃に対する対策としては、十分有効だろう」と裏を返せば、高度な攻撃には即座に対応できないことを指摘している。○ネットワークのセキュリティ対策で済む問題ではない最初にウイルス感染した福岡支部のパソコンは、ネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認された。このことから攻撃手法は「ネットワークセキュリティにおける階層の脆弱性を利用した」と解説している。Web経由での代表的な攻撃は、1次攻撃と2次攻撃に分かれる。1次攻撃は、標的の内部ネットワークへの潜入を試み、一方の2次攻撃はネットワークおよびシステムの支配を試みる。1次と2次の攻撃が成功することで攻撃者が狙うデータを取得できる。今回の事件でいうなら攻撃者の目的は個人情報の取得である。今回の事件は1次攻撃の手段はEメールを利用し、添付ファイルを開封したときに感染したとされている。ネットワーク用のセキュリティ製品の多くは、Webを介して転送されるEメールやWebコンテンツを監視対象にすることができない。コラムでは、「コンテンツはネットワークのL7(OSI 7レイヤによる分類)にてその『正体』が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できない」と指摘している。L7を監視するには「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の必要性があると訴えている。○単なるデータ暗号化では、十分ではないコラムでは、日本年金機構はなぜデータを暗号化していなかったのか疑問視している。「国民の個人情報を扱っている機関として恥を知るべく」と指摘しているように、国家機関の対応として簡単に許されることではない。個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていくなどの特段の措置を取る必要があるという。今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合が出てくる。まず、なりすまし防止への対応と、多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。システムを安全に守るためには、「データ暗号化プラットフォーム」が重要であると述べている。暗号化技術は、個別のシステムだけでなく、ICTシステム全体に適用する必要があるためだ。プラットフォームの導入は、暗号化のコア技術を保有する専門会社に相談することを推奨している。
2015年06月09日・ 「老後が不安」なママ世代の、不安の本当の正体とは? ・ 年金、私は結局いくらもらえるの? の続きです。私たちが、年金で知りたいことは、「自分は、どこから、いくらもらえるの?」ということ。だったら老後のための資金を、もらえる先ごとに「公的年金」「企業年金」「個人の蓄え」に分けて考えてみると、全体像が把握しやすい。今回は、もっとも多くの人に関係がある、公的年金で知っておくべきポイント4つについて、年金のプロ、大江英樹さんにお話を伺った。■サラリーマン家庭が特に覚えておきたい、公的年金のポイント4つ「サラリーマン家庭の方は、公的年金について以下のポイントだけはしっかり覚えておいて下さい」と、大江さん。<ポイント1>公的年金は終身給付国から支給される「基礎年金」と「厚生年金」は、一生涯受給できる終身年金だ。基礎年金は、平成26年4月時点では年額で77万2,800円(保険料を満額払い込んだ場合)。基礎年金は物価の変動によって受け取れる金額が変動するので、経済の変化に強い年金ともいえる。厚生年金は、支払った保険料によってもらえる金額が違ってくる。<ポイント2>サラリーマンなら保険料未納はまずない「うちは国民年金の保険料なんて支払っていないけど大丈夫?」と心配する家庭もあるかもしれない。けれども、それも大丈夫。厚生年金保険料という名目で給与天引きされている中に、国民年金(基礎年金)の保険料も含まれているからだ。転職したり自営業だったりしたことがある人以外は、サラリーマンなら年金保険料が未納になっているケースは、まずない。<ポイント3>破綻はまずない「国の年金制度が破綻するという話はよく出ていますが、本来、年金制度は非常に長い時間をかけて制度を変えていくもの。すぐにもらえなくなるといった心配をするのはナンセンスです」と大江さん。将来、公的年金の受け取り開始年齢が上がることはあるが(現在65歳 → 将来的には68歳~70歳)すぐに破綻したり、もらえなくなったりする心配はない。<ポイント4>ねんきん定期便の見方のコツ自分が将来もらえる公的年金額を知るには、年に1回、お誕生日月に送られてくる「ねんきん定期便」を見ればよい。ただし、50歳未満の人については、これまでに払い続けてきた保険料の金額のみで計算された年金の額が計算されている。年金自体は今後も払い続けるため、将来もらえるであろう金額とは異なるため、実際目にすると戸惑ってしまうかもしれない。そんな場合は、 ねんきんネット がおすすめだ。これは、将来の受取り見込額のシミュレーションを試算できるサービス。しかも、「ねんきん定期便」であれば、自分の最新の年金額が1年に1度しか送られてこないが、「ねんきんネット」であれば、いつでも最新の情報をチェックすることができる。公的年金のポイントはこれで整理できた。次回は、「企業年金のポイント3つ」で、もらえる年金の2つ目、企業年金のポイントを整理する。年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月09日・ 「老後が不安」なママ世代の、不安の本当の正体とは? の続きです。「老後が不安」と思っているのに、何の手だても打てないのは、年金制度がわかりづらいから。そこで、年金制度を理解する秘訣を、年金のプロ、大江英樹さんに伺った。■自分は、どこから、いくらもらえるのか? 「社労士(社会保険労務士)さんならともかく、普通の人が知りたいのは、『自分は、どこから、いくらもらえるのか?』ですよね? だったら、それを具体的に考えてみましょう」と、大江さん。実際に「どこから」「いくら」年金をもらえるか、年金の仕組みはこうなっている。 ■もらえる年金(1)国からもらえる「公的年金」まず、上記の図の左側、国からもらえるのが、公的年金だ。何をもらえるかというと、サラリーマンなら、「厚生年金」(基礎年金も含む)。自営業の人なら、「国民年金」だ。「具体的にいくらもらえるのか?」は、毎年、誕生日月に送られてくる「 ねんきん定期便 」を参照しよう。この「ねんきん定期便」を見たことがある読者は、金額の少なさにビックリしたのでは? でも、ご安心あれ。実際にもらえるのは、記載されている金額ではない。実は、「ねんきん定期便」の見方にもコツがあるので、それは次回に詳しく説明しよう。■もらえる年金(2)会社からもらえるのは、「企業年金」次にさきほどの図の真ん中、会社に定年(あるいは一定の年齢)まで勤めた場合にもらえるのが、企業年金だ。このお金は、一度に受け取れば「退職金」、分けて受け取れば「企業年金」と呼ばれる。もらえる金額は、会社の人事部に問い合わせをすれば教えてもらえるそう。「ちょっと前までは、会社の人事部にそんな問い合わせをすると、『会社を辞めるんじゃないか?』なんて勘ぐられたり、そもそも教えてもらえなかったりしましたが、今は多くの会社で、簡単に教えてもらえる時代になりました」と、大江さん。■もらえる年金(3)自分で準備するのが、「個人年金」最後が図の右側、自分で準備する、個人年金だ。年金という名前はついているが、実際には貯蓄や投資信託、株といった、自分の蓄えのことで、自己管理となる。これで年金制度の骨格は整理できただろう。次回は、「公的年金で知っておくべきポイント4つ」として、基本的に誰もがもらえる公的年金のポイントを整理する。年金についてもっと詳しく知りたい人は?◇ 自分で年金をつくる最高の方法確定拠出年金の運用【完全マニュアル】 (著者:大江英樹/日本地域社会研究所) 定価:本体1,680円(税別)
2015年06月08日アトム法律事務所(以下、アトム)は4日、日本年金機構の年金情報125万件流出問題をLINEで弁護士に無料相談できる特別窓口を開設したことを発表した。○年金流出問題もLINEで24時間365日相談できるアトムは4月に、LINEで弁護士に無料相談できるサービスの提供を開始した。同サービスは、開始からわずか1カ月半で友だち登録数が9,000人以上に上り、反響を呼んだ。そこでこの度は日本年金機構の年金情報125万件流出問題を受け、特別窓口を開設した。登録方法は、LINEの「友だち追加」で「@atombengo」と検索、またはQRコードを読み込むことで可能。利用方法としては、アトムにLINEでメッセージを送信するだけの簡単な操作だ。また、秘密厳守も徹底しており、1対1のトークで、登録自体も相談内容もアトムの所員以外は誰も見られない設定となっている。なお、年金情報流出問題の件を相談した後でも、引き続き無料で利用でき、法律問題・トラブルのほか、人生や恋愛まで、あらゆる悩みを相談することができる。
2015年06月05日●「年金機構」の事例は氷山の一角○「年金機構は氷山の一角」、日本だけを狙う攻撃が進行中カスペルスキーは6月4日、日本の企業を広く狙う「Blue Termite」によるAPT攻撃が現在進行中であると発表し、その状況を解説した。なお、Blue Termiteはカスペルスキーによる命名である。冒頭、代表取締役社長の川合林太郎氏は、日本年金機構の年金情報漏えいに絡んだ憶測やデマに近い報道がされているため、今回は事実のみを簡潔に伝えると発言。日本をターゲットにしたAPT(Advanced Persistent Threat)攻撃に関しては、2013年のICEFOGによる事例がある。この発表の際にカスペルスキーのセキュリティチームは、「APTは海外の話ではなくなった」と説明している。翌年2014年には、DARK HOTELと呼ばれる攻撃がアジアで発覚(ホテルのネットワークに不正侵入して宿泊客を狙う。攻撃そのものは7年前から)。これらは、ホテルに宿泊する企業VIPや重要な情報を持っていると思しき人がターゲットにされていた。そして今年、Blue Termiteが発覚した。カスペルスキーによると、Blue Termiteの攻撃は2014年9月から行われていたとのことだ。○感染先IPアドレスの多くが日本。C&Cサーバーも日本なのが最大の特徴同社マルウェアリサーチャーの石丸傑氏は、Blue Termiteの詳細を解説。きっかけは、2014年秋に、健保組合や年賀状を装ったマルウェアメールを発見したこと。健保組合の場合は「Wordファイルのアイコンを持つ実行ファイル」が添付されており、これをダブルクリックするとマルウェアに感染する(自己解凍型ファイルが実行され、ダミー文書の表示とともにマルウェア本体が動き出す)。これだけだと広範囲な攻撃メールのように思われるが、そうではない。Blue Termiteの初期モジュールは、攻撃対象のPCかどうかを判定したうえで、対象と判断した場合に外部への通信プログラム(バックドア)を動作させる。加えて、現在のマルウェアをバージョンアップしたり、攻撃対象ごとにカスタムメイドされたマルウェアを取得したりする。さらに続き、内部ネットワークへの感染拡大を試み、感染PCや内部ネットワークの管理者権限も奪取しようとする。標的ごとに異なるマルウェア行動の一例として、「報道機関」を挙げてみよう。感染したマルウェアによって、そのPCが「報道機関」と判断されると、メールアカウントやブラウザのセッション情報を盗み、重要な情報源となるであろう文書ファイルの窃取を行う。●日本に特化した攻撃、ターゲットにされている業種や機関は?Blue Termiteの最大の特徴は、標的が日本に特化されているだけでなく、攻撃を指令するC&Cサーバーが日本に多く設置されているところにある。カスペルスキーの調査によると、2014年9月から感染PCと指令サーバーの通信を観測してたが、12月からいったん鎮静化。そのあと、今年(2015年)の4月から再び増えているという。ターゲットとなっているのは、政府機関、報道機関、防衛関連、航空宇宙産業、金融業、製造業、エネルギー関連、情報通信と、非常に幅広い。カスペルスキーの観測では、300以上のIPアドレスから通信を確認している。一つの組織で複数のIPアドレスを使うこともあるので、300=組織数ではないが、それなりに広く感染&監視活動が進行しているようだ。カスペルスキーは、情報通信会社からの通信に「c:\windows\system32」フォルダを確認した痕跡があることを問題視している。推測として、クラウドサーバーの基幹部分が乗っ取られた結果、その会社が管理しているクラウドサーバーも乗っ取り可能になっていることを指摘。これが、「C&Cサーバーの93%が日本のサーバー」である根拠とした。○「ウチは大丈夫」と根拠のない自信は捨てよ。誰もが標的になる現状認識をここで川合社長にバトンタッチし、このような状況下で「ウチは感染しない」という根拠のない自信は捨て去り、感染を防ぐテクノロジーに頼るだけでなく、教育や環境、情報の取り扱いを含めた総合的な取り組みが必要と述べた。一件のインシデントで発生するコストは、一般論でいうと中小企業で約56,000ドル、大企業では約649,000ドルにのぼる(1ドル120円で計算すると、56,000ドルは約6,700,000円、649,000ドルは約77,900,000円だ)。これを示したうえで、エンドポイントセキュリティを見直し、脆弱性対策の導入、メール受信環境の再設定(.exeは捨てるか隔離環境に移して従業員が扱えないようにする)、そしてセキュリティコンサルティングを実施して、現状の確認と評価を行うべきとした。
2015年06月04日カスペルスキーは6月4日、年金情報流出で大きな騒ぎとなっている日本年金機構の情報流出の原因と見られる、日本を標的としたAPT攻撃「BlueTermite(ブルー・ターマイト)」に関する緊急会見を行った。会見の冒頭、カスペルスキーの代表取締役社長 川合 林太郎氏は、「今回の会見は特定の団体をやり玉に挙げ、大きな騒ぎになっている事件に火に油を注ぐことが目的ではない」と説明。「今回、ニュースになっているもの以外にも、日本を標的としたAPT攻撃、BlueTermiteが起こっていることが明らかになったことから、これに関して説明を行うとともに、どんなことが起こっているのか、どう対策をとるべきかをお話したいと考えた」と続けた。同社では2013年から日本を標的とした攻撃が行われていること、日本人にとってAPT攻撃が他人事ではないことをアピールしてきたが、「BlueTermiteは100%日本が攻撃対象となっている。三度目の正直で、標的型攻撃は他人事ではなく、日本の企業、団体全てが対策を取るべき事案」(川合社長)と訴えた。BlueTermiteは2014年9月に指令サーバーへの通信を行っていることが確認されている。それ以降、10月~12月にかけては、日によっては百件を超す通信数となっていたが、その後は通信数が減っていた。しかし「今年4月以降、活動が活発化していることが明らかになっている」(カスペルスキー 情報セキュリティラボ セキュリティリサーチャー 石丸 傑氏)としており、再び攻撃者が目的をもって動き出した様子が伺える。マルウェアとしての特徴は、送られている添付ファイル付きメールの文面、添付ファイルのタイトルにはさまざまな種類があり、健康保険を装ったものや、季節の挨拶が書かれたものなどがある。添付されているファイルは自己解凍実行型の.exeファイルが添付されているので、そこに気がつけばファイルを開かずに削除する人が多いと思われるが、「添付ファイルの拡張子を表示しない設定になっている人が多いので、ファイル拡張子を意識することなく、ファイルを開く人が多いのではない」(石丸氏)という。開いた添付ファイルに書かれているテキストは通常のものだが、そのバックエンドで攻撃者のサーバーと通信が行われる。その結果、外部通信用バイパスツールが設置され、マルウェアへの感染、内部ネットワーク管理者権限の取得、他の端末への感染拡大などが行われる。指令サーバー、感染後の挙動、マルウェアという一連の攻撃が行われ、指令サーバーの機能、ファイル名、構成などが同種であるものが多数発見されている。日本年金機構への攻撃についても、この特徴が合致することから、BlueTermiteによる攻撃と推定された。「我々のような対策者側には指令サーバーへの通信を見せない仕組みとなっているため、すぐには気がつきにくい」(石丸氏)標的型攻撃であることから、攻撃対象を確認し、その組織が持っている重要な情報を取得している。2015年5月時点で国内数千ドメインが攻撃者の手中にある模様で、報道機関の例を取ると、メールアドレスやパスワード、IDが、エネルギー関連企業の場合には、保有する施設情報、製造業の場合にはIT資産リストなど、取得している情報に違いがある。「最も被害が大きいと見られる情報通信業では、WindowsSystemファイルへのアクセスが確認された。クラウドサーバー本体へのアクセスがあった模様で、管理者権限まで乗っ取られていた場合には、他社への攻撃、情報収集などが行われている可能性がある」(石丸氏)こうした事態に対し川合社長は、「テクノロジー、教育、環境、情報の取り扱いという4つの柱に則って対策を作るべき」とアドバイスする。「うちは小さい会社だから、狙われている業界ではないといった、根拠のない『うちは大丈夫』という過信を止める。誰もが標的となる可能性があり、送られてくるメールの内容も巧妙化している。被害に遭うことは決して恥ではない。万が一、攻撃にあった場合には警察に連絡し、他の企業が攻撃にあうことがないよう、重要な情報として共有していくべき」(川合社長)セキュリティ製品を提供する企業としてテクノロジーの観点から、エンドポイント対策の見直し、脆弱性対策の導入、.exeはデフォルトで削除ないし、隔離するといったメール設定の見直し、セキュリティコンサルティングの実施により現状の確認と評価を行うことを提言する。また、BlueTermiteへの感染の有無を確認するため、タスクリスト、スタートアップに登録されているかを確認すべきMalware、Toolsのプロセス名を紹介。確認の必要性をアピールした。
2015年06月04日○連想買いの株高日本年金機構が、サイバー攻撃にあい125万件の個人情報が流出していたと6月1日に謝罪会見を開きました。ウイルスに感染したパソコンを経由して、不正アクセスが行われていたというのです。機構の発表によれば、添付ファイルの開封による感染というよくあるパターン。事件を報じた産経新聞は、前身の社保庁時代の「年金履歴のぞき見事件」と異なり、被害者の側面があると紹介しますが、次々と明らかになる事実からは「重過失」の疑いが浮かびます。情報流出が発表された翌日の東京株式市場。ラック、FFRIなど、セキュリティ関連会社の株は、買い気配のまましばらく値が付かずにいました。事件により、セキュリティ対策の需要が高まり、好業績に繋がるという思惑買いと見られます。しかし、ソフトやハードを強化するというテクノロジーからのアプローチだけでは再発防止は夢のまた夢の「セキュリティ0.2」です。○約40台の感染ウイルス感染が発覚したのが5月8日。官公庁へのサイバー攻撃を監視している「内閣サイバーセキュリティセンター」が、不審な通信を見つけ同機構に通報し、当該パソコンを外部ネットワークから遮断します。この迅速な対応だけは、極めて優秀と評価できます。ところが不思議な事実が明らかとなっていきます。添付ファイルをクリックした職員は、5月8日だけでなく、18日にも現れたというのです。この情報だけ見るならば、感染したパソコンは2台のはず。しかし、全国紙Aでは十数台、ほかの全国紙に至っては「約40台のパソコンが不正なアクセスを受けたとみられる」と伝えているのです。パソコンのウィルスはUSB端末やネットワークを介して拡がります。マスコミ各社の報道を総合すると、感染発覚により外部ネットワークから切り離したパソコンを、内部ネットワークに繋いでいた疑いが強まります。ノートパソコンの「無線LAN(Wi-Fi)」をオフにしただけで、通信ケーブルは接続したままだったということでしょうか。これではインフルエンザを発症した社員を、帰宅させずに事務所内で働かせ続けるようなもの。感染拡大は言わずもがなです。○大半はヒューマンエラー個人情報の書き込まれたファイルは、パスワードを設定しなければならないという内規がありました。パスワードをかけておけば、仮に個人情報が流出したとしても、容易に中身が見られることはありません。万が一の情報流出時に、被害を最小限に食い止めるためのルールで、情報管理からみて妥当な対策です。ところが、流出した個人情報の44%にあたる、55万件が未設定でした。鍵をかけていない金庫は、かさばる戸棚に過ぎません。被害を決定づけたのは、従来は堅牢な基幹システム内にあった個人情報を「ファイル共有サーバ」に移したことです。朝日新聞が「パソコン」と表現していることから、パソコンの「ファイル共有機能」かも知れませんが果たす役割は同じです。感染したパソコンは、ここにあった情報を見つけ、外部に送信していたのです。つまり、ここに情報を置いておかなければ、そもそも論として流出する情報はなかったのです。二重三重の人間によるミスと、管理の不徹底という「ヒューマンエラー」の前には、どんな堅牢なセキュリティ対策も「0.2」に成り下がります。○習っていないから知らないまた、発表前に「2ちゃんねる」では内部情報と見られる書き込みが見つかっています。旧社保庁の事件からも、日本年金機構という組織に根ざす、情報を取り扱う事業者としての危機意識の欠如は論外のレベルですが、大なり小なり、どの企業も内包する現代的な課題です。ソフトやハードを強化するだけでは再発防止は不可能です。機構の対応のまずさは特筆に値するとしても、問題の本質は「ヒューマンエラー」にあるからです。早急であり恒久的な対策としては、教育、指導、訓練といった「人」への投資で、これを疎かにしている企業は少なくありません。どれだけ堅牢なセキュリティを施したとしても、身内が無邪気に壁に穴をあけているようでは、防ぐことなどできません。あるいは窓口にやってきたテロリストを応接室に通し、正体が明らかになった後も、行動の自由を許していたとすれば、例え吉田沙保里さんが扮する「安心戦隊ALSOK」でも平和を守ることは出来ません。セキュリティソフトが脆弱だった20世紀、ウイルス被害は珍しいものではなく、某ラジオパーソナリティは買ったばかりのパソコンが感染していたことを繰り返しネタにしています。ところが堅牢なセキュリティシステムが普及するに従い、個人レベルでの危機感は薄れてきます。さらにスマホの普及で、若者世代を中心に、パソコン離れ、電子メール離れが進んだことにより、むしろ危機は増大しているように感じます。○エンタープライズ1.0への箴言不正アクセス対策で欠けている「教育」という視点宮脇 睦(みやわき あつし)プログラマーを振り出しにさまざまな社会経験を積んだ後、有限会社アズモードを設立。営業の現場を知る強みを生かし、Webとリアルビジネスの融合を目指した「営業戦略付きホームページ」を提供している。コラムニストとして精力的に活動し、「Web担当者Forum(インプレスビジネスメディア)」、「通販支援ブログ(スクロール360)」でも連載しているほか、漫画原作も手がける。著書に「Web2.0が殺すもの」「楽天市場がなくなる日」(ともに洋泉社)がある。最新刊は7月10日に発行された電子書籍「食べログ化する政治~ネット世論と幼児化と山本太郎~」筆者ブログ「ITジャーナリスト宮脇睦の本当のことが言えない世界の片隅で」
2015年06月04日日本年金機構は1日、職員の端末に外部からのウイルスメールによる不正アクセスを受け、年金加入者の氏名など約125万件の個人情報が外部に流出したことが5月28日に判明したと発表した。電子メールのウイルスが入った添付ファイルを職員が開封したことで不正アクセスが行われ、情報が流出。流出した情報は、「基礎年金番号、氏名の2項目」が約3万1,000件、「基礎年金番号、氏名、生年月日の3項目」が約116万7,000件、「基礎年金番号、氏名、生年月日、住所の4項目」が約5万2,000件となっている。同機構は、不正アクセスが発見された時点で直ちにウイルスが感染したパソコンを隔離し、ウイルス対策ソフト会社に解析を依頼するとともに、検知したウイルスの除去を進めている。また、警察にも通報して捜査を依頼しているほか、外部への情報流出を防ぐため、全拠点でインターネットへの接続を遮断している。なお、 現在のところ、 基幹システム(社会保険オンラインシステム)への不正アクセスは確認されていないが、さらに精査を行っているという。情報が流出した人については、基礎年金番号を変更し、年金の手続きがあった際には本人確認をした上で手続きを行う。併せて、専用電話窓口を設置して問い合わせなどに対応する。今後は、再発防止のための委員会を設置し、情報セキュリティ対策の強化に取り組むとしている。
2015年06月02日