Dell SecureWorks

コンサルタント 古川勝也 



1.「マイナンバー」とは?

「マイナンバー」とは、日本国民一人に一意の12桁の番号を割り当て、主に税と福祉の分野で利用する為の新制度です。2015年10月から、現住所に各個人の番号が通知される予定です。翌2016年1月より正式に施行となっていますが、2015年の年末調整から記載を求める事業者もあり、「マイナンバー」の収集作業自体は、10月の番号通知以降順次開始されていくものと予測されます。

つまり、事業者側で「マイナンバー」情報を取り扱うタイミングは、正式に施行とされている2016年1月よりも前倒しで考える必要がある場合があることを見落としてはいけません。

対策までの期間は、あまり残されていませんが、要所を押さえて対策することで、短期間に効率的なセキュリティ対策を実施することも可能です。

本レポートでは、漠然とした“マイナンバー対策”と言われているものを、セキュリティ対策の観点から整理し、対策すべき要点を明確にすることで、お客様のIT環境をセキュアにご利用いただくことを目指しています。以下、各項目で要点を整理していきます。

 

2.「マイナンバー」と個人情報保護

「マイナンバー」を含む情報は、“特定個人情報”と位置づけられています。これは、これまで「個人情報保護法」に基づき運用されてきた“個人情報”と何が違うのでしょうか?

一言で表現すると、「特定個人情報はより厳密な管理を求められている情報」ということです。以下に、「特定個人情報」と「個人情報」の違いの要点を挙げておきます。

[要点1]:すべての事業者が対象となる

個人情報保護法では、保持する個人情報が5,000件以下の企業は対象外となっていますが、「マイナンバー」関連法案では全事業者が対象となります。従業員を1名でも雇用していれば、そのマイナンバーの管理責任が発生するのです。つまり、大企業から中小企業、小規模な事業主まで全ての事業者が、「マイナンバー」のセキュリティ対策を講じる必要があるのです。大きな負担となるのですが、これまで情報漏えい対策を講じてこなかった事業者は、新たに対策を講じる必要があるということです。

 

3.セキュリティ対策は、何をどこまですべきか?

セキュリティ対策は、各事業者のリスクの高さによって千差万別であり、何かの必殺技のように一気に解決できるような類のものではありません。様々な対策を組み合わせることで、限られた予算や期間、人的リソース、および許容すべきリスクと折り合いを付けて脅威に対応することが求められています。

このようなセキュリティ対策のアプローチは、これまで個人情報保護対策を講じ、運用してきた事業者には馴染みあることだと思います。ここでご理解いただきたいのは、特定個人情報の保護は、これまで個人情報保護対策を行ってきた事業者にとっては、大きな変更では無いということです。

 [要点2]:個人情報保護の技術的対策は変わり無い

「マイナンバー」のためのセキュリティ技術、ソリューションという特有のものはありません。既存の情報漏えい対策ソリューションを組み合わせて対策することになります。注意すべきは、運用のポリシー面で、特定個人情報取り扱いに対する教育を就業規定に盛り込む等の対応が必要になることです。つまり、技術的な側面は通常の個人情報保護対策ソリューションで対応できますが、運用面では、「マイナンバー」ならではの対応が求められる場合があるということです。

また、「マイナンバー」を取り扱う範囲、関連するITシステムについても考慮する必要があります。今回、「マイナンバー」が利用されるITシステムは、人事・経理のシステムに限定されます。特定個人情報の提供は、社会保障、税及び災害対策に関する特定の事務のために「マイナンバー」の提供を求める場合等に限定されているからです。つまり、全ての事業者が対象となりますが、対策すべきは一部のシステムということです。

[要点3]:人事・経理システムに注力して対策を行う

理想的なセキュリティ対策としては、事業者全体に高いセキュリティ対策が確保されている状況が望ましいのですが、その中でも、「隔離」と「要塞化」を行い、セキュリティ対策のレベルに対してメリハリをつけるのが現実的なアプローチとなります。今回のように、施行までの期間が十分ではない場合は、隔離と要塞化を一部のシステムに実施することで、防御対策のレベルを上げるというのも、有効な手段となります。

 


デル マイナンバー対策ソリューションに関するお問い合せは
こちらからご連絡ください。

  


 

4.ガイドラインで示されている内容とは?

ここまでの項目では、対象となる企業、なすべき対策、対策の範囲についてご紹介してきました。では、具体的にどのように「マイナンバー」のセキュリティ対策を実施すればよいのでしょうか。セキュリティ対策の深さはどこまで実施すべきか、判断がつきにくいという事業者も多いでしょう。ここでは、特定個人情報保護委員会から提示されている、マイナンバーガイドライン入門に沿って、具体的な対策を考えていきます。

特定個人情報保護委員会Webサイト

http://www.ppc.go.jp/legal/policy/document/

マイナンバーガイドライン入門(事業者編)(平成26年12月版)

http://www.ppc.go.jp/files/pdf/270213guideline.pdf

 

このガイドラインでは、特定個人情報を取り扱うために民間事業者に求められる安全管理措置として、AからFの6項目で安全措置を整理し、それぞれの対策が例示されています。以下、ガイドラインの内容を示します。

民間事業者はマイナンバーを含む個人情報(以下、特定個人情報)を取り扱うために、特定個人情報保護委員会が発行する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、以下の安全措置を講じる必要があります。

A.基本方針の策定

B.運用規定

C.組織的安全管理措置

組織的な体制構築、取扱い規定に基づく運用、情報漏えい等事案に対応する体制整備

D.人的安全管理措置

事務取扱担当者および全社的な教育・管理強化

E.物理的安全管理措置

管理体制の物理セキュリティ強化、取扱区域の管理、機器および電子媒体の盗難防止

F.技術的安全管理措置

アクセス制御、認証、情報漏えい等の防止、外部からの不正アクセス等防止

 

これらの安全措置は、最低限事業者が実施すべき対策となります。よりリスクを軽減するには提示されている以外の対策も検討する必要が出てくる場合もあるでしょう。今回は、提示されている安全措置に対して具体的にどのように実施することができるのかについて、デルのセキュリティソリューションを例にして、以下紹介していきます。

提示されている6項目は大きく3つに分類することができます。主に仕組み、業務規定、ポリシーなどの規定に関する対策、人を対象とした人的な対策、そして、技術的な対策の3つです。


デル マイナンバー対策ソリューションに関するお問い合せは
こちらからご連絡ください。

  


5.規定:ポリシー面での対策とソリューション

まず、主に仕組み、業務規定、ポリシーなどの規定に関する対策ですが、ここには、A.基本方針の策定、B.運用規定、C.組織的安全管理措置、E.物理的安全管理措置が含まれます。

A,B,Cに関する内容は、主に決めごとです。社内規定の変更等、文書化しその内容の実施を義務付ける主にプロセス面の内容となります。また、Eの物理的安全管理措置は、情報の取扱いエリアの安全管理措置や情報保全の設備等の管理措置となっています。

デルでは、A,B,C に関する基本方針の策定、運用規定、組織的安全管理措置の現状分析を行い、各事業者に最適な方針、規定の策定をご支援する「マイナンバーに関する特定個人情報保護の方針・規程の整備サポート サービス」を提供しています。

  

6.人的:人への対策とソリューション

次に、人を対象とした人的な対策D.人的安全管理措置についてご紹介いたします。特定個人情報を取り扱うのは「人」であり、多くの情報漏洩事故が「人」が原因となって発生していることからも、人的安全管理措置は安全管理措置の中でも最も重要な項目と言えます。

ここで、言及されているのは、「事務取扱担当者の監督」と「事務取扱担当者の教育」です。「事務取扱担当者の監督」では、本ガイドラインの、例示で挙げられているように、秘密保持に関する事項(非開示契約)を就業規則などに盛り込むことを検討する場合は、規定、ポリシー面に修正を加える必要があり、弊社が提供する「マイナンバーに関する特定個人情報保護の方針・規程の整備サポート サービス」の関連サービスとしてご支援することができます。

また、「事務取扱担当者の教育」では、デルが提供する「セキュリティ啓発トレーニング」サービスなどを活用し、セキュリティ対策意識の継続的な維持を図るのも良いでしょう。

 

7.技術的:様々なテクノロジーによる対策とソリューション


最後に、技術的安全管理措置についてご紹介いたします。非常に多くの対策項目がここに含まれており、何から手をつけるべきか頭を悩ませる人が多いのがこの項目です。しかし、上記の[要点]で述べた内容を基準に対策を整理すると、何から手を付けるべきかが明らかになってくることでしょう。つまり、マイナンバーを取り扱う、人事・経理などのシステムおよびPCの徹底した「防御」を行うということです。また、現在の巧妙化するサイバー攻撃に対して、100%安全というソリューションは残念ながら存在しません。ですから、「防御」に加えて「検知および対応」の対策を準備することで、セキュリティ侵害発生時の影響を最小限に食い止めることができます。昨今のセキュリティ対策では、この「防御」と「検知および対応」の両面の対策を講じる必要があると言われています。

 

 

デルでは、「防御」のセキュリティソリューションとして、

  1. ITシステム自体を強固な状態にする: SonicWALL
  2. 個々のエンドポイントやデータポイントを強固な状態にする: DDP|シリーズ
  3. ITシステムに関する“検知と対応”の取組: Dell SecureWorks

 等、豊富なソリューション、サービスを提供しています。

「マイナンバー」のセキュリティ対策でお困りのお客様は、是非デルに御相談ください。お客様に最適で現実的なセキュリティソリューションをご紹介させていただきます。

 

以下、各ソリューションおよびサービスのご紹介となります。

1. ITシステム自体を強固な状態にする: SonicWALL

なぜマイナンバー対策として、ネットワークセキュリティ対策が必要なのか。以下理由があります。

不正アクセスの増加

あらゆる情報がマイナンバーで管理されるようになり、個人情報としての価値が高まり不正アクセス対策の必要性がより高まっています。

個人情報漏えいの罰則が強化

マイナンバー施行により、個人情報漏えいに対する罰則もより強化される為、個人が起こした場合でも企業がネットワークセキュリティ対策を行っていない場合刑事責任/民事責任を問われる可能性が非常に高まることが予測されます。

 

そこで、外部からの不正アクセス等の防止として、お勧めするのが、SonicWALL次世代FireWALL(UTM)です。次世代ファイアウォールが提供する機能として、特徴的なのが、一台で、様々なセキュリティ対策を実現できるということです。単一のセキュリティ対策では高度化する攻撃を防ぐのは困難です。そこで、様々なセキュリティ対策(ファイアウォール、VPN、アンチウイルス、IPS/IDS、コンテンツフィルタリング、アプリケーションのコントロール等)を組み合わせて対応するのですが、これを「多層防御」といいます。この「多層防御」を単体で実現するのが、次世代FireWALLであるSonicWALLなのです。

 

2. 個々のエンドポイントやデータポイントを強固な状態にする: DDP|シリーズ

エンドポイントやデータの保護が、技術的安全管理措置において、どの部分に対応するかですが、大きく次の3つの部分の対策として用いることができます。

    1. アクセス者の識別と認証:

正等な利用者を識別する認証ソリューション DDP|ST Dell Data Protection |
Security Tools

スマートカードや指紋認証などを管理することで、エンドポイントデバイスの正面玄関を守るソリューションです。

 

    2, 特定個人情報ファイルを守る:

データそのものを保護する暗号化ソリューション DDP|EE Dell Data Protection | Encryption

USBデバイス等の外部デバイスに保存したデータの暗号化保護や、不正コピーからの防御を行い、盗難・紛失からデータを守るソリューションです。

 

    3, 外部からの不正アクセスから守る:

不正な入出力の取り締まりを実現する標的型攻撃対策ソリューション DDP|PW Dell Data Protection | Protected Workspace

不正なアクセスや通信を検知し、正常な状態に戻す。標的型攻撃などからデータを守るエンドポイント・セキュリティ・ソリューションです。

  • Optiplex、Latitude、Precision をご利用のお客様は、1年間無料で利用可能

 

3. ITシステムに関する“検知と対応”の取組: Dell SecureWorks

万が一、セキュリティ侵害が発生した場合、即座に検知することで、影響を最小限に食い止めることができます。また、事前に対応のプロセスや体制を講じておくことで、事故発生後の原因究明、および確実な復旧を迅速に実現することができます。

Dell SecureWorks では、世界最高レベルのセキュリティ監視サービスをお客様にご提供しており、脅威の予見による防御レベルの向上のみならず、セキュリティ侵害発生時には即座にグローバルスケールのサービスにてお客様のシステムの迅速な復旧と原因究明をご支援いたします。

 

  



8. 情報リンク先

<デル>

Dell マイナンバー対策ソリューションページ: http://www.dell.com/learn/jp/ja/jpbsd1/campaigns/mynumber

Dell SonicWALL: http://www.sonicwall.com/japan/

Dell Data Protectionソリューションhttp://www.dell.com/learn/jp/ja/jppad1/campaigns/dell-data-protection-solutions

Dell SecureWorks: http://www.secureworks.jp

 

 <外部>

内閣官房 フリーダウンロード資料

http://www.cas.go.jp/jp/seisaku/bangoseido/kouhousiryoshu.html


デル マイナンバー対策ソリューションに関するお問い合せは
こちらからご連絡ください。