マイナンバー対応に適したサーバーの要件とは――最新の「HP ProLiantサーバー Gen9」が対応を強力支援高性能で安全なITインフラを手に入れるチャンスはいま

2016年1月に施行される「マイナンバー制度」は、企業にとっては負担にはなるものの、システムの更新や改善のよい機会でもある。とはいえ、どこから手を付けてよいか悩んでいる企業も多いだろう。そこで、既存システムとは切り離したシステムを新たに構築し、そこでマイナンバーを管理するというアプローチを検討してはどうだろうか。

» 2015年12月10日 10時00分 公開
[PR/@IT]
PR

マイナンバーをシステム全体の改修につなげる動きが加速

 2016年の「マイナンバー制度」の本格運用に向けて、社内システムの見直しを進める動きが出始めている。マイナンバー制度では、マイナンバーを直接取り扱う行政機関や金融機関だけでなく、社員の所得税の源泉徴収のために社員からマイナンバーを収集、管理する一般企業でも対応が求められる。

 当面は、社会保障、税、災害対策に関する行政手続で必要になるものだが、今後、適用範囲の拡大も見込まれている。そのため、一時的な対応ではなく、これを機にシステム全体の改修や改善につなげようという企業が増えてきているのだ。

 マイナンバー対応におけるシステム改修の手続きとしては、プライバシー保護やセキュリティの観点から次の5つのプロセスを考慮する必要がある。

(1)社員などからのマイナンバーの取得

(2)本人確認

(3)マイナンバーを利用するシステムとの連携(法定調書への記載)

(4)目的外利用を防ぐための措置(法定調書の廃棄)

(5)社員の退社時や法定保存期間後にマイナンバーの削除

 マイナンバー制度では、プライバシーや情報保護の観点から、マイナンバーを利用後に廃棄することが決められており、情報漏えいに伴う罰則も厳しい。特に、上記(3)〜(5)については、既存システムを部分的に改修して、マイナンバーを既存システム内で保管するような管理体制をとることは、技術的にも予算的にも難しいとされている。

マイナンバー専用システムを新規構築するというアプローチ

 そんな中で、システム的な対応として主流になりつつあるのが、既存システムとは切り離したシステムを新たに構築し、そこでマイナンバーを管理するというアプローチだ。

ALT 日本ヒューレット・パッカード プリセールス統括本部 サーバー技術本部 サーバー技術1部 部長 及川信一郎氏

 実際、「HP ProLiant」ブランドで企業向けに幅広いサーバー製品を提供する日本ヒューレット・パッカードによると、マイナンバー対応のために新規サーバーを購入したいという企業が増えてきているという。日本ヒューレット・パッカードの及川信一郎氏(プリセールス統括本部 サーバー技術本部 サーバー技術1部 部長)は、次のように説明する。

 「マイナンバーへのシステム対応に関してはさまざまな考え方があり、現在は、それぞれの企業が手探りで試行錯誤しているといった状況だと思います。ポイントの一つは、マイナンバー管理の仕組みを“既存システムからいかに切り離すか”になるでしょう。当社が実際に手掛けた案件で増えてきているのは、マイナンバー専用のシステムを新規構築し、既存システムとは別のシステムとして管理する方法です。既存システムとは物理的に異なるシステムとなるため、プライバシーや情報保護のためのセキュリティ対策も行いやすく、システム管理も容易になるというメリットがあります」(及川氏)

マイナンバー対応に適したサーバーとは

 及川氏によると、マイナンバー対応に取り組んでいる企業は、今のところ、官公庁や金融機関、社員数の多い大手企業が中心であるという。2016年末の源泉徴収票提出に合わせてシステム対応を済ませようという企業が多いと見られ、これからサーバーに対するニーズが本格化すると予想している。

 これまでのマイナンバー対応事例では、仮想化基盤上でシステムを隔離するといったアプローチを採用するケースもあったという。ただし、その際には、内部不正や外部からのサイバー攻撃を考慮してネットワークを隔離したり、各種セキュリティ製品を導入したりといった、ソフトウエアやミドルウエアレベルでのより強固な対策が求められることなる。特に、大手企業と同様のセキュリティ対策が難しい中堅中小規模の企業では、物理的に別サーバーを導入して、必要なセキュリティ対策を適切に実施する方が、より現実的なアプローチとなる。

ALT 日本ヒューレット・パッカード プリセールス統括本部 システム技術本部 金融・公共技術部 ITスペシャリスト 山中良信氏

 それでは、マイナンバー対応に適したサーバーとはどのようなものであり、サーバーにはどのような対策を行えばよいのだろうか。実際にマイナンバー対応を現場で支援している、日本ヒューレット・パッカードのITスペシャリストの山中良信氏(プリセールス統括本部 システム技術本部 金融・公共技術部)は、次のように話す。

 「基本的にはデータを管理するためのサーバーですから、特別に高い性能は必要ありません。汎用的なラック型サーバーで十分ですし、企業の規模や環境によってはエントリークラスのタワー型サーバーでも対応できると思います。むしろ、サーバーの要件として重視してほしいのは、どのような条件下でも問題なく安定して稼働できることや、情報を保護するためのセキュリティ機能、管理機能が充実しているかどうかです」(山中氏)

 稼働環境が重要になるのは、マイナンバーの管理が必ずしも設備の整った本社のサーバールームやデータセンター内で行われるわけではないのだ。

 例えば、不動産の賃貸借契約などを行う事業者は、支払調書提出のため、個人の大家などからマイナンバーを収集し、管理する必要がある。この場合、拠点や支社ごとにマイナンバーを管理するサーバーを個別に設置して管理するケースは少なくないと予想できる。

 また、社員数の限られた中小規模の企業などでは、十分な設備を持ったデータセンターを利用できず、オフィス内にある施錠された部屋でサーバーを管理することも考えられる。小さなシステムであるため、どんな環境でも問題なく安定して動作することがポイントになるわけだ。

 また、セキュリティ機能や管理機能については、マイナンバーのガイドラインで示されている「物理的安全管理措置」や「技術的安全管理措置」を満たせるかどうかがポイントになる。及川氏によると、これらのうち、特に以下の4つを実施できるかどうかが重要になるという(図1)。

(1)外部からの侵入を検知・防止

(2)記録媒体でのデータ持ち出し防止

(3)アクセスを監視

(4)データの暗号化

図1 図1 マイナンバーで抑えておくべき4つの対策(出典:日本ヒューレット・パッカード)《クリックで拡大します》

 「これらは、システムをどう構築するかに関わるものです。サーバーOSが機能を提供しているか、サーバーハードウエアとして強固なシステム構築を支援する機能が提供できるかを押さえておく必要があるでしょう」(及川氏)

マイナンバー対応を支援する「HP ProLiantサーバー」

 日本ヒューレット・パッカードの「HP ProLiantサーバー」は、マイナンバーで求められるさまざまな要件を満たすサーバーだ(写真1)。まず、どのような条件の環境下でも問題なく稼働できるという点では、最新の「HP ProLiantサーバー Generation 9」(以下、HP ProLiantサーバー Gen9)において、最大動作温度が強化された点が大きい。

写真1 写真1 最新の「HP ProLiantサーバー Generation 9」は、マイナンバーで求められるさまざまな要件を満たす

 具体的には、多くの機種で最大40度に対応(米国暖房冷凍空調学会ASHRAEが定める規格「ASHRAE A3」に準拠)し、一部機種では最大45度に対応(「ASHRAE A4」準拠)している(図2)。冷却設備が十分に整っていない環境でも動作するため、例えばオフィスの区画に入室制限を設けた部屋を作り、そこでマイナンバー用のサーバーを稼働させるといった状況でも利用できる。

図2 図2 HP ProLiant サーバー Generation 9は多くの機種で最大40度に対応。一部機種では最大45度に対応する(出典:日本ヒューレット・パッカード)《クリックで拡大します》

 「マイナンバーでは、物理的、技術的に安全措置を講じる必要がありますが、そのためだけに大規模な設備を用意することは難しい場合があります。最新のHP ProLiantサーバー Gen9を利用することで、物理的な持ち出し禁止やアクセス監視などの安全措置をとりやすい環境で、サーバーを安全に安定稼働させることができるようになります」(山中氏)

 その際には、CPUやハードウエアモジュールによるデータ暗号化支援機能や、サーバーハードウエアを全て自社で製造していることによる信頼性の高さが大きなメリットになる。サーバーOSやソフトウエアによる暗号化の場合、パフォーマンスの問題や暗号鍵そのものの漏えいがリスクになる可能性があるが、ハードウエアの暗号化を行えるHP ProLiantサーバー Gen9では、そうしたリスクを回避できる。また、自社で製造しているため、例えファームウエアなどに脆弱(ぜいじゃく)性が見つかったとしても、それを悪用するような攻撃にも迅速に対処することができる。

 「システム構築の面でも、IPS(侵入防止システム)/IDS(侵入検知システム)製品による不正侵入の検知や、Windows ServerのActive Directoryと連携したデータの持ち出し禁止措置、ファイルアクセスの制限や監視などの実装を支援できます。ニーズに応じてさまざまラインアップを用意し、それに合わせたソリューションを提供できることもHP ProLiantサーバー Gen9の強みの一つです」(山中氏)

 サーバーの運用管理という点でも、HP ProLiantサーバー Gen9は独自のマネジメントプロセッサー「iLO Management Engine」の搭載により、新たに導入したり、運用管理したりする手間を大幅に削減できる。最新のiLO Management Engineでは、サーバーのセットアップに関して手順を45%減らし、これまでより3倍速いシステム展開を実現できるという(図3)。

図3 図3 HP ProLiantサーバーに搭載される「iLO Management Engine」は、サーバーのライフサイクル全体をカバーする「自働サーバー」の運用機能(出典:日本ヒューレット・パッカード)《クリックで拡大します》

 また、iLO Management Engineを搭載するHP ProLiantサーバー Gen9は、電源オン/オフ、ファームウエアのアップデート、ライセンス適用などの操作を複数台まとめて行えるようになっている上、「自働化」が図られていることにより、サーバーの運用管理工数を低減させることができ、必要以上に業務を圧迫することもない(画面1)。

画面1 画面1 「iLO」の管理画面。iLO Management Engineを搭載する複数台のHP ProLiantサーバーを一元的に運用管理することができる(出典:日本ヒューレット・パッカード)《クリックで拡大します》

サーバーOSを含めた最新システムへの刷新も効果大

 以上のように、HP ProLiantサーバー Gen9は、マイナンバー対応に適したサーバーハードウエアの強みを多数備えている。その上で及川氏は、導入効果をより高めるために、既存システムの見直しやサーバーOSを含めた最新システムへの移行に取り組むことを勧める。

 「重要情報にアクセスするためのID管理に、Windows ServerのActive Directoryを利用している企業は多いと思います。すでにサポートが終了した古いWindows Serverを延命しているケースもまだ見られます。マイナンバー対応のような、アクセス管理や持ち出し制限がポイントになるシーンでは、最新サーバーOSに移行することで、セキュリティの強度を高めることができます」(及川氏)

 実際、2015年7月にサポートが終了したWindows Server 2003/2003 R2についても、最新のWindows Server 2012 R2などへ移行し、HP ProLiantサーバー Gen9上で稼働させることで、「BitLockerドライブ暗号化」やアクセス監視、アクセス制限などの最新の強固なセキュリティ機能が利用できるようになる。2016年4月にサポート終了を迎えるデータベース製品「SQL Server 2005」なども踏まえながら、システム刷新の計画を立てていくべきだろう。

 企業では、最新サーバーOSへのリプレイスというだけでは確保が難しかった予算も、法対応という名目であれば獲得しやすい面がある。システム部門にとってもマイナンバー対応は、それをきっかけに古いシステムを刷新するよいチャンスなのだ。

 「HP ProLiantサーバー Gen9は、さまざまなビジネスシーンで使っていただけるような機能追加、改良を絶えず行っています。単体でのサーバー導入から、システム全体のリプレイスまで対応でき、セキュリティ対応やシステム運用管理にかかる労力を大幅に減らすことができます。マイナンバーをきっかけとしたシステムの見直しに取り組む中で、HP ProLiantサーバー Gen9の魅力を確認していただければと思います」(及川氏)

関連ホワイトペーパー

wp

わずか数分でセットアップ完了、「手間なしサーバ」はどれくらい手間なしか?

企業の情シス部門はIT技術が大きく変わる中、さまざまな変化への対応を迫られている。システム構成に必要なサーバ自体も自動化が進み高度化している。そこで、サーバ運用の課題を解決し、TCO削減にも貢献する「手間なしサーバ」の実態をひも解いてみたい

wp

事例:ハイパーバイザーが原因でサーバのパワーが80%も低減? その対策とは

Bigstepはビッグデータの分析サービスを提供する欧州のクラウドプロバイダー。ハイパーバイザーを使用せず、ベアメタルによりセキュリティと拡張性を実現し、価格性能比を最大80%向上させた。そこで求められた機能要件とは、どのようなものだろうか。

wp

最新サーバーに移行し、Hyper-Vをフル活用。レプリケーション機能で復旧時間を短縮し、性能の余裕分を開発環境やテスト環境に。

全国のコンビニから毎日膨大な受注情報が集まるため、基幹サーバもデータ参照用Webサーバも負荷が高まる月末のレスポンス低下に悩んでいたトオカツフーズ。その課題解決に向け、サーバ刷新を決めた選定ポイントについて見ていきたい。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本ヒューレット・パッカード株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年1月31日

関連特集

関連ホワイトペーパー

企業の情シス部門はIT技術が大きく変わる中、さまざまな変化への対応を迫られている。システム構成に必要なサーバ自体も自動化が進み高度化している。そこで、サーバ運用の課題を解決し、TCO削減にも貢献する「手間なしサーバ」の実態をひも解いてみたい。

Bigstepはビッグデータの分析サービスを提供する欧州のクラウドプロバイダー。ハイパーバイザーを使用せず、ベアメタルによりセキュリティと拡張性を実現し、価格性能比を最大80%向上させた。そこで求められた機能要件とは、どのようなものだろうか。

全国のコンビニから毎日膨大な受注情報が集まるため、基幹サーバもデータ参照用Webサーバも負荷が高まる月末のレスポンス低下に悩んでいたトオカツフーズ。その課題解決に向け、サーバ刷新を決めた選定ポイントについて見ていきたい。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。