名古屋の社労士 社会保険労務士法人とうかい(人事・労務・採用)

お気軽にお問合せ・ご相談ください

052-433-7280
営業時間
9:00〜17:00 (土日祝は除く)
お問い合わせ
事務所パンフレット

エムケイシステム「社労夢」ランサムウェア攻撃によるシステム障害をうけて、弊社の社労士事務所としての対応をまとめました。

6月5日朝、社会保険労務士向けクラウドサービス「社労夢」を提供する株式会社エムケイシステムが、自社サーバーがランサムウェア被害を受けたことを公表しました。1週間近く経った6月15日現在もなお、各サービスにつながりにくい状況が続いており、いまだ回復のめどが立っていない状況です。

弊社では当該サービスを利用しておらず、顧問先を含めて影響はありません。しかし株式会社エムケイシステムだけでなく他の企業でもランサムウェア被害が報告されている状況からセキュリティの対策の重要性を再認識し、改めて対策を講じる必要があると考えました。今回のシステム障害及び情報流出リスクは対岸の火事ではなく、自社でも起こりうる可能性のあることと受けとめ、今後について弊社の対応を報告させていただきます。

 
目次
  1. 弊社がメインで使用しているクラウドサービスシステム利用状況
  2. 弊社のセキュリティ対策状況
  3. サイバー攻撃による被害が起きた場合の弊社方針
  4. まとめ
  5. 経営者として

弊社がメインで使用しているクラウドサービスシステム利用状況

現在、弊社のメインで使用しているシステムは障害の報告はありません。

弊社で活用しているサービスは次の通りです
・マネーフォワードクラウド給与計算
株式会社マネーフォワードが提供する給与計算サービスです。https://biz.moneyforward.com/payroll/

 

・オフィスステーション労務
株式会社オフィスステーションが提供する社会保険手続きのサービスです。
https://www.officestation.jp/roumu/

・奉行クラウド HR DX Suite
株式会社オービックビジネスコンサルタントが提供する人事労務サービスです。

いずれもクラウドサービスですが、今回の社労夢のようなランサムウェア等被害は報告されていません。

 

弊社のセキュリティ対策状況

お客様の大切な個人情報を守るため、積極的にセキュリティ対策に取り組んできました。

弊社は、お客様の生産性向上を支えるため人事労務のDX化を推進してきましたが、お客様の大切な個人情報を扱うため、セキュリティに関して積極的に取り組みをしてまいりました。


セキュリティについては、クラウドシステムを提供しているベンダーと呼ばれる企業の対策状況(社労夢においてはエムケイシステムが該当します)、そして、弊社社内の対策状況二つが関わってきます。

クラウドサービスとはインターネットを通じて、サービスを必要な時に必要な分だけ利用するというものです。便利な一方、インターネットにつながっている分、どれだけの対策を講じたとしてもセキュリティには不安が残ってしまいます。そのため、一般にクラウドサービスのベンダーは非常に高いレベルのセキュリティで取り組んでいる企業も多いです。しかし、今回の社労夢はクラウドサービスでありましたが、サイバー攻撃を受けてしまいました。

ベンダーのセキュリティについて各利用者が見極めを行う必要があります。暗号化通信やIPアドレス制限がどのような設定になっているのか確認することも一つです。クラウドサービスのセキュリティ対策の高さを第三者機関が認証する国際規格があります。これを各ベンダーが取得しているかどうかもポイントです。

その国際規格というのが、情報セキュリティ対策の基準であるISMS(情報セキュリティ・マネジメントシステム)の規格「ISO/IEC27001」です。クラウドサービスに特有のリスクのアセスメント、適切な情報セキュリティ対策の実施状況の監査等が規定されており、情報セキュリティ管理体制が国際標準規格に適合すると第三者機関に認められます。

 

そして、弊社の利用しているクラウドサービスそれぞれについて、取得状況とそのほかのセキュリティ対策状況は下記のとおりです。

 

【マネーフォワードクラウド給与】

2015年10月30日に、マネーフォワードクラウド給与を提供する株式会社マネーフォワードが「ISO/IEC27001」認証を取得しました。マネーフォワードクラウドは、データ連携機能も多いため、金融機関と同水準のデータ保護を行なっています。暗号化やアクセス権の制限、2段階認証による不正アクセス防止、さまざまなフィッシング・スパイウェア対策を行なっています。

 

【オフィスステーション労務】

情報セキュリティマネジメントシステム(ISMS)の国際規格である「ISO/IEC27001」「ISO/IEC27018」の認証を取得しています。そのほか、国内のデータセンターでバックアップ、通信データとサーバー本体を暗号化、ファイアーウォールなどの不正アクセスの防止、システムの24時間監視体制、利用者側にも二段階認証の標準化、定期的な第三者機関による脆弱性診断など、こちらもセキュリティ対策のレベルは高いでしょう。

【奉行クラウド HR DX Suite】

奉行クラウドのすべての業務データは、世界トップレベルの堅牢なセキュリティである「Microsoft Azure」で管理・運用しています。
さまざまな認証にも準拠し、ISOやCSAなど様々な認証を取得しています。

【社会保険労務士法人とうかいのセキュリティに対する取り組み】

社会保険労務士法人とうかいにおけるセキュリティ対策は次の通りです。名古屋事務所、多治見事務所と2か所ありますが、どちらも下記管理体制を完備しております。

・専用IPの開通
専用IPを開通しております。
専用IP (インターネットプロトコル) は、自分だけが使用できる固有のIPアドレスです。 指定したVPNサーバに接続するたびに、同じIPアドレスを取得します。 これと同じように、VPN接続と固定IPアドレスも保護されます。

・SAML認証
SAMLとはシングルサインオン(SSO)を実現する仕組みの一つで、異なるインターネットドメインの間でユーザーの認証情報をやり取りすることが可能です。 

・遠隔端末管理
個人情報が閲覧できる端末は遠隔管理できる状態にしております。
盗難等で機器そのものを持ち出されたとしても安全性は担保されます。

・UTM
日本語では「統合脅威管理」あるいは「統合型脅威管理」と呼ばれています。企業のネットワークは、常にさまざまな脅威にさらされています。ウイルスなどの外部の攻撃だけでなく、有害サイトにアクセスしたことなどによる内部からの脅威もあります。それを、ファイアウォール、アンチウイルス、アンチスパム、Web(URL)フィルタリング、IDS(Intrusion Detection System/不正侵入検知システム)、IPS(Intrusion Prevention System/不正侵入防御システム)といったさまざまなセキュリティ機能を1つに集約することでコンピューターネットワークを効率的かつ包括的に保護する管理手法を採用しています。

・SRPⅡ
社会保険労務士事務所で、一定のセキュリティレベルが確保されていると認定された事務所に与えられる認証マークです。社労士の上部団体「全国社会保険労務士会連合会」が認証します。弊社も認定事務所となっています。

・クラウドデータバックアップ
サーバーのデータも定期的にクラウドサーバーにバックアップを取っています。データの紛失の可能性を防ぎ、災害などの緊急時でもデータが消失しないようにしています。

・従業員教育
いくら物理的なセキュリティ対策を行ったとしても、各社員が自由に運用したのでは意味がありません。弊社では定期的に従業員教育を行い、個人におけるセキュリティ意識の醸成を図っています。また、就業規則およびPC・スマートフォン取扱規程や個人情報管理規程等、セキュリティ規程を整備し、それに基づいたシステムの利用や管理を徹底しています。IPA(独立行政法人情報処理推進機構)主催の情報セキュリティマネジメント試験合格者を社員として常駐させています。

エムケイシステム「社労夢」ランサムウェア攻撃によるシステム障害をうけて、を受けての弊社の対応

万が一に備えて、迅速に対応できるように方針を報告します。

データ保存方法、セキュリティソフトの見直し

クラウドツールを使用しないことで安全を確保する方法もありますが、その方法では著しく利便性が損なわれてしまいます。弊社は常日頃からセキュリティ対策が十分であると考えるクラウドサービスを選定してまいりましたが、この事件をきっかけとして再度クラウドサービスだけではなくデータの保管方法やセキュリティ対策ソフトの見直しを行います。

セキュリティ研修の実施

今回の事件においては原因はまだ明らかではありませんが、サイバー攻撃の被害の多くは内部社員が無知であることを原因としています。

弊社では定期的にセキュリティ勉強会を実施していますが、社内向けセキュリティ勉強会を追加開催し、社内のセキュリティに対する意識を高めてまいります。

システム障害や大規模自然災害時等で弊社の通常業務が行えない場合の対応

今回の社労夢のように、サイバー攻撃により給与計算の処理を行えなくなった場合は、原因究明・迅速な復旧作業はもちろんですが、お客様との信頼を第一に行動いたします。

顧客および社員の皆様へ迅速な情報提供を行うとともに、情報を隠蔽せず、誠実に対応を行います。

顧問先の皆様にはご迷惑をおかけしますが、復旧が行われるまでの間に関しては直近支給額と同額での振り込み対応をしていただき、復旧次第速やかに期間分の再計算を行い、復旧後の支給の給与計算にて調整させていただきます。

 

まとめ

業務効率化と安心の実現の両立を進めていきます。

 

サイバー攻撃の形態も多様化し、そのトレンドは目まぐるしく変化しています。「この対策をしているから安心」という姿勢ではなく、それぞれの企業がセキュリティ対策を学び、実践していくことが求められています。

私たちも今回のエムケイシステム「社労夢」ランサムウェア攻撃によるシステム障害発生という出来事を、該当のシステムを使って「いなくてよかった」という姿勢ではなく、自社でも起こりうる事象ととらえ対策を進めていきます。

社会保険労務士法人とうかいでは、お客様の業務効率化と安心の両立のため、今後もより一層取り組みを強化してまいります。

 

経営者として

社会保険労務士法人とうかい
代表の久野です。

私たち社会保険労務士事務所は顧問先の従業員の方々の個人情報をお預かりする立場です。

今回、たまたま弊社は該当のソフトを使用しておりませんでした。しかし皆様の大切な個人情報を預かる社会保険労務士事務所の経営者として、今回の事件は決して他人事ではなく、自社でも起こりうる事案であると考えております。弊社ではかねてよりセキュリティに多くの投資を行ってまいりました。現在もISMSの取得に向けて取り組みを進めています。

ISMS認証とは、情報セキュリティマネジメントシステムともいわれる、情報セキュリティを管理する仕組みのことです。 第三者機関によって情報セキュリティに関する要件を満たしていると判断されると、ISMS認証を取得できます。客観的な視点でセキュリティの基準を満たしているとお伝えできるように取り組んでおります。

その他にも、会社貸与の携帯電話の遠隔端末管理やSSO(シングルサインオン)、SAML認証等の強化、専用IPの開通、UTMの導入などをだけではなく、先日事務所の改装を行い、セキュリティエリアには個人の端末を持ち込まないように物理的にもセキュリティを強化しました。今回はサイバー攻撃でしたが、情報漏洩のほとんどが人為的な要因によって起こっていることを忘れてはなりません。

ただ残念ながら一部の社労士事務所はセキュリティといえば、ソフトのことだと考えており、自分事として認識できていないように思います。すべての社労士事務所がそうではありませんが、自宅では皆様の個人情報を守れるはずがないのは当然としてセキュリティに対する意識が低い事務所が多いことも事実だと思います。

上述しました通り、弊社では皆様に「情報」を安心してお預けいただけるように、事務所の改装を今春実施いたしました。この投資は決して安いものではありませんでしたが、効率を追求しながらセキュリティを実現するためには必要な投資と考えました。今後、セキュリティにはさらに力を入れていきます。

今回のことでセキュリティに不安を感じられた経営者のご担当者の皆様はぜひ弊社にご訪問ください!
セキュリティ体制をご説明させていただきます。

現状と、弊社のこれからの取り組みをご確認ください!

社労士事務所として、個人情報をお預かりする経営者の一人として、今後もセキュリティに投資していくことをお約束します。

弊社の社内の様子です。個人の携帯電話はロッカーに預け入室します。
ZOOMの際も専用のボックスを用意し防音で情報漏洩の心配がありません。

最新セミナー

お役立ちコラム「人事労務のお悩み相談所」

よく見られているコラム

36協定とは?上限時間を超えないコツも解説
IT業(情報通信産業)の社労士選び。
同一労働同一賃金
給与計算代行のメリットデメリット

サイドメニュー