公文、70万人超の個人情報流出 イセトーのサイバー攻撃被害で(朝日新聞、2024年)
Pマークは取得しているようですが外からの攻撃に脆弱だったという事でしょう。
やはり個人情報の秘匿にはスニーカーNWが最適ですね。コードとの突合せにはスニーカーが必要と。
たかが70万件だし。
前から思っていたこと。
なぜダミーデータを紛れ込ませておかないんでしょう。
附番規則で真偽を判定させておく共通仕様にすれば漏洩時の被害は幾分少なくなります。
クラッカーは業務ロジックには興味ないでしょうから。
そんでメール誤送信対策。
思い切って重要情報のメール添付は禁止にして、セキュアなファイル交換サイトを導入する。
最後にファイアウォールへのAPゲートウェイ設定で通信遮断も。
データ形式に少し工夫が要るでしょう。
ゼロトラスト製品、色々出てますけど導入済みの製品を使って一から自分たちで設計・構築した方が強度は上がる気がします。
どこでどうやって止めるか考えながら。