最終面接

基本情報

場所	web
時間	40分
社員数	1人
学生数	1人
結果通知方法	メール

質問内容・回答

①周囲に潜むリスクについて順位付けと対策をプレゼンをしてください（事前に文章提出あり）

パワポを作って説明した。


以下プレゼンで扱った内容


「コンビニ交付システム」


これは、マイナンバーカードを利用しコンビニのマルチコピー機から証明書発行を可能にしたシステム。


●発生しうるリスク


①     システム自体から生じるリスク：本システムは様々なシステムが連動していることから、1つのシステム障害が他のシステムに波及し連鎖的にシステムが停止するリスクがある。実際、データセンタ内の証明書発行サーバーに不具合があり、他人の証明書が誤発行されるインシデントが発生している。


②     外部要因（災害等）によるリスク：災害等により、システムダウンによるサービスの一時停止が考えられる。事前のバックアップやBCPの策定等による早期復旧対策を事前に施す必要がある。これらは現時点で取り組んでいる自治体が多い。


③     人為的要因によるリスク：本システムは、人口の約7割の個人情報を取り扱うものであり、非常に資産価値の高い情報を有するシステムである。しかし、人為的要因によりシステムが停止したり、個人情報が漏洩したりする恐れがある。


実際、このシステムではないのですが、マイナンバーカードと一体化した健康保険証に、別人の情報を紐づけられるインシデントが発生しました。原因は人為的な入力ミスとされている。 上記の中から事象の発生確率×事象の（影響力）のリスクマトリクスにより、最も高水準となったものを重要度の高いリスクとして選定した。結果として、人為的要因、特にサイバー攻撃による個人情報の漏洩を挙げる。


サイバー攻撃は年々増加傾向にあり、2024年において1組織あたりが受ける平均攻撃数は1,636件/1週間とのデータがある。加えて、人口約7割に影響を及ぼす個人情報の漏洩は本システムの信用を失墜させるものであり、システムの停止や会社全体の信頼性のみならず、個人にも甚大な被害が及ぶ。


対策として以下を挙げる。


〇短期的スパンの対策として以下3点を挙げます。


・強固なセキュリティシステムの設計、搭載


・サイバー保険への加入によるリスク移転


・サイバー攻撃を受けた後の確実な原因究明により対策につなげる


〇長期的スパンの対策としては


・セキュリティの脆弱性がないか定期的にテストする。（ペネトレーションテスト）


・定期的なアップデート


・情報リテラシー教育（自治体やシステム提供会社社員に施す）


・漏洩後の対策や連携を事前にチェックし訓練する。そうすることで被害を最小限に抑えられる可能性が高まります。