ランサムウェア攻撃によるシステム障害により給与計算・社会保険手続き業務に支障をきたしている企業様へ
はじめに
社会保険労務士向けの業務ソフトウェアを開発している会社が2023年6月にランサムウェアによるサイバー攻撃を受け、各種のクラウドサービスが利用できない状態が6/19時点でも続いています。
保存されている給与計算情報や個人のマイナンバー情報などで個人情報流出の恐れもあり、こちらのシステムを使用している顧問社労士事務所に給与計算や社会保険手続きを依頼している企業の場合、個人情報流出の被害に遭っている可能性があります。
このような企業経営者・人事労務担当者様は本記事をご覧ください
・自社の顧問社労士がこのシステムを使用しており自社の個人情報が流出している恐れがある方
・今後同じようなシステム障害に遭わないための社労士事務所の選び方を知っておきたい方
・今後社労士に給与計算・手続き業務を依頼しようと考えている方
ランサムウェア攻撃とは
ランサムウェア攻撃は、悪意のあるソフトウェアによる攻撃手法です。データやファイルを暗号化し、被害者のアクセスを封じ込めます。その後、身代金を要求して復号化キーを提供するものです。
ランサムウェア攻撃の特徴
特徴としては以下のとおりです。
ランサムウェア攻撃の特徴①:感染経路
不正なメールの添付ファイルやリンクを通じて感染します。
ランサムウェア攻撃の特徴②:暗号化
攻撃者はデータを暗号化して利用者のアクセスを制限します。データは利用できなくなります。
ランサムウェア攻撃の特徴③:身代金要求
攻撃者は身代金を要求し、復号化キーを提供します。仮想通貨での支払いが一般的です。
今後同様の事故が起こった際の対策・予防方法とは?
対策・予防①:定期的なバックアップの実施
従業員の個人情報を管理・保管するサーバーがシステム会社側で管理しているサーバーのみとなっている場合、システム会社側でデータが消失してしまうと手も足も出ない状況になります。
定期的にシステム上のデータを自社管理のサーバーでバックアップし、被害時にデータ復旧が可能な状態で保全しておくべきでしょう。
対策・予防②:事故が起こった後の対応方針の事前想定(BCP)をしておく
今回のランサムウェア攻撃のような、悪意のある第3者からのサイバー攻撃は、クラウドシステムを使用して給与計算や社会保険の電子申請を行っている以上避けては通れないリスクです。前述のバックアップ対策を行うなど企業側で自衛できる点は対策を講じるべきですが、サイバー攻撃を受けた際の事業継続計画を検討しておくのも重要な切り口と言えます。
具体的には①個人情報保護委員会への報告の段取りの確認②従業員への周知・連絡手段の確認③退職者への報告方法の確認④顧客への報告方法の確認などの検討が必要になります。
対策・予防③:信頼のおける委託先に依頼すること
一番手早い自衛手段は、セキュリティレベルの高い外部委託先に外注するという方法です。上場企業、大手企業とのお付き合いのある社労士事務所lは、顧客から高い要求水準のセキュリティ対策を講じているケースが有り、委託先の目利きの際の判断材料になります。
また、社労士事務所が使用する業務システムを事前に確認できるようでありましたら、インターネット検索の範囲内でも自社でチェックが可能です。
社会保険労務士法人アットロウムの取り組み
最後に、千葉県を中心に労務相談・手続き・給与計算を受託する社会保険労務士法人アットロウムのセキュリティ対策についてご紹介させていただきます。
セキュリティ対策への取り組み①:高いセキュリティ対策を行う株式会社CellsのCells給与・台帳を業務システムとして採用
日本マイクロソフトの専用サーバーを利用しているため、ソフトウェア修正プログラムの自動適用、ネットワーク負荷分散、およびサービス提供ができなくなる事態を防ぐ機能などが組み込まれています。また、サービスの正常性を絶えず監視するエンジニアによって、24 時間 365 日体制でテクニカル サポートが提供されています。
アクセスは全てSSL通信(暗号化通信)で行われています。
※SSL(Secure Socket Layer)通信とは、インターネット上でやりとりされるデータの「盗聴」「改ざん」「なりすまし」を防止するための暗号化プロトコル(通信方法)です。
日本マイクロソフトによるクラウドバックアップが行われています。
Cellsドライブのデータは、日本マイクロソフトの専用サーバーにより、常に別の場所にバックアップがとられています。
この他のセキュリティー対策については下記リンク先より詳細についてご確認ください。
セキュリティ対策への取り組み②:日本のUTM市場シェア No.1「FortiGate(フォーティゲート)」の使用
「FortiGate」は、フォーティネット社が自社で開発・提供するセキュリティ製品で、インターネットの脅威からユーザーを保護します。一つの装置に複数のセキュリティ機能を統合し、ファイアウォール、アンチウイルス、IPS、アンチボットネット、SSL-VPN、アンチスパム、Webコンテンツフィルタリング、アプリケーション制御、IPSec-VPNなどを提供しています。これらの機能により、FortiGateは強固なセキュリティ対策を実現しています。
セキュリティ対策への取り組み③:特許技術搭載「SubGate」の使用
「SubGate」は、ネットワーク内部で発生するセキュリティ脅威を自動検知しブロックすることで、ネットワークサービスの安定化と運用の利便性を進化させる次世代ネットワーク内部セキュリティソリューションです。特許技術「アクセスレベル保安装置及び保安システム」や、有害トラフィック分析専用エンジン(MDS Engine)を搭載しています。これらの機能により、SubGateは強固なセキュリティ対策を実現しています。
セキュリティ対策への取り組み④:SRPⅡ(社会保険労務士個人情報保護事務所認証制度)取得
SPRⅡは「個人情報保護法」及び「行政手続における特定の個人を識別するための番号の利用等に関する法律」に対応した安全管理措置を講じる事務所の体制を認証する制度です。認証取得には、社労士版特定個人情報保護評価書の作成が必要で、そのひな形はプライバシーマーク制度を運営する一般財団法人日本情報経済社会推進協会(JIPDEC)の確認書の発行を受けたものです。当事務所では個人情報等について適切な安全管理措置を講じていますので、安心してご依頼いただければと思います。
セキュリティ対策万全な社労士事務所への給与計算・手続き業務の委託をお考えの企業様は当法人にご相談ください
社会保険労務士法人アットロウムでは幅広い企業規模の給与計算・手続き・労務相談・評価制度構築・助成金申請業務に対応可能です。当法人の事務所概要は下記などをご覧ください。
>>当法人の概要
>>お問い合わせ