マイナンバー対応は「騒ぎ過ぎず、楽観し過ぎず」で：＠ITマイナンバーセキュリティセミナーレポート（1/2 ページ）

2016年1月からいよいよ正式に開始されたマイナンバー制度。関連する詐欺が発生したり、重複して番号が発行されたりと、何かと話題は尽きない。一方企業側での対応はどうだろうか。幾つかの調査結果によると、既にマイナンバー対応の取り組みを進める企業がある一方で、中小企業を中心に「まだこれから」「具体的にどうすればいいか分からない」という段階の企業も少なくない。こうした悩みに対する指針を示すセミナーの模様をお届けする。

[＠IT]

　2016年1月からいよいよ正式に開始されたマイナンバー制度。幾つかの調査結果によると、既にマイナンバー対応の取り組みを進める企業がある一方で、中小企業を中心に「まだこれから」「具体的にどうすればいいか分からない」という段階の企業も少なくない。安全管理措置も含め、法令には従わなくてはならないが、過剰に対策するのも重荷となるのも事実。そこで、＠IT編集部が2015年11月13日に開催したセミナー「間違いだらけの『マイナンバー対策』」の模様から、そのポイントを探っていこう。

「漏れたらどうなるの？」「何がポイント？」素朴な疑問に打川氏が答える

　基調講演には、＠ITの人気連載「みならい君と学ぶマイナンバー制度物語」でおなじみのアイテクノ取締役副社長 上席コンサルタント、打川和男氏が「ネットを信じるな？ 間違いだらけのマイナンバー対策・2015年 秋」と題し、＠IT編集部 Security & Trustフォーラム担当編集者の宮田健氏との掛け合いを通じて、最新の情報を確認した。

「みならい君と学ぶマイナンバー制度物語」でおなじみのアイテクノ取締役副社長 上席コンサルタント 打川和男氏

　まず打川氏が指摘したのは、インターネット上で公開されているマイナンバーを巡る「記事」や「Q＆A」の内容が、いつの時点で書かれたものかに注意を払うべきだということだ。

　実は、マイナンバー制度を巡る細かな制度や解釈は適宜アップデートされている。例えば、2015年10月には所得税法が改正され、源泉徴収票へのマイナンバー（個人番号）の記載は不要になった。しかし、それ以前の情報に基づき「源泉徴収票の書式も変更する必要がある」といった情報もいまだに公開され続けている。「書いた人に悪意はないし、その時点では正しい内容だったが、後出しで状況が変わることがある。参照する記事の日付に注意し、情報の信憑性に気をつけてほしい」（内川氏）

　続けて、「そもそも、マイナンバーが漏えいしてしまったら、企業にはどんな影響が生じるのか？」という宮田氏の素朴な問いに対し、打川氏は「内部犯行によるのか、安全管理措置をしていても漏れたのかといった『漏れ方』と『内容』によるが、基本的には、マイナンバー情報が悪用されてなりすましされるという形での実害はそんなにないのではないか。ただ、企業のレピュテーションの低下という影響はあるだろうし、新聞も喜んで取り上げるだろう」と答えた。

　既に幾つかの企業は、従業員や扶養家族の個人情報収集に取り組み始めているだろう。もしこれから始める、という場合は「リハーサルがすごく重要だ。マニュアルはあくまで想定に基づいて作ったものであり、想定しきれないことがいっぱい出てくるはず。リハーサルをして、その中で紙にメモを取る必要が出てくれば、そのメモをどう処理し、安全管理措置を講じるかといった事柄を洗い出すことが望ましい」（打川氏）

対談を取り仕切った＠IT編集部 Security & Trustフォーラム担当編集者の宮田健氏

　今回のセミナーの根底には、マイナンバー対応「だけ」を目的としたセキュリティ対策はあまり意味がないのではないか、という問題意識がある。これを踏まえた宮田氏の「既に、個人情報取扱事業者としてプライバシーマークを取得している場合には、それほど大げさな対策は必要ないのではないか？」という問いに、打川氏は「安全管理措置という面では、基本的にクリアできていると考えていいのではないか」と述べた。ただ「個人情報保護法と番号法とでは、『目的外利用』や『第三者提供』といった個人情報の取り扱いの面で異なる部分があるため、気をつけなくてはいけない」という。

　会場の来場者からの質問も寄せられた。「マイナンバーの受け取りを拒否した従業員に、会社としてどう対応すればいいのか？」という質問には、「個人番号関係事務実施者として、従業員にその必要性を理解させる義務はある」としながらも、仮に提出されなかったとしても罰則はなく、「頑張る」くらいしかないのが実情という。

　また、「マイナンバーを取り扱う端末を、完全にインターネットから隔離された環境に置くよう指示があったが、それではパッチが適用できず、かえってセキュリティ上問題が生じるのではないか」という質問も寄せられた。

　打川氏は、ガイドラインの中には、「しなければならない」措置と「望ましい」措置があり、その区別を踏まえて可能な範囲で対策を講じる必要があると説明した上で、「利便性の著しい低下につながらないよう、組織の中で話し合い、バランスをとることも重要だ」と述べた。

　「『マイナンバー対応』というが、マイナンバーのためだけの措置ではない。既に多くの企業では、ある程度セキュリティ対策を実施しているだろう。その延長線上で、現状で課題があるところを対策すればよく、それほど大騒ぎするような話ではない。『漏えいが怖い』と過剰に反応し過ぎてもいけないし、『ただの12桁の番号だから漏れてもいい』と気楽に構えるのも駄目で、真ん中ぐらいが一番ちょうどいい」（打川氏）

　なお、マイナンバー制度そのものに反対する人の中には、自ら進んで自分の個人番号をSNS上で公開する人もいる。そうしたとき「安易にその写真にコメントすると、自分の友人にもその写真がフィードされ、目的外利用、第三者提供になってしまう」そうだ。

　「そもそもマイナンバーは個人のものではなく、国が、税と保証の一体改革のために使うもの。なので『私は不要です』というのは本来はおかしいし、国から預かったものを目的以外で使うわけにはいかない」（打川氏）。その意味で、個人としては窓口手続きの簡素化といったメリットが得られるかもしれないが、「企業には、関係事務実施者として協力する義務があるが、メリットはない」のが現実だという。

「データ」を中心としたアプローチで内部不正対策を——マクニカネットワークス

マクニカネットワークス セキュリティ第1事業部 プロダクト第1営業部 第2課の伊藤章浩氏

　マクニカネットワークス セキュリティ第1事業部 プロダクト第1営業部 第2課の伊藤章浩氏は「マイナンバー取り扱いでも求められる内部不正対策へのアプローチ」と題し、特に「内部不正」に焦点を絞って課題と解決策を解説した。

　内部不正を引き起こす要因としては、ドナルド・クレッシーが提唱する「機会」「動機」「正当化」という「不正のトライアングル」がよく挙げられる。このうちITシステムで対処が可能なのは「機会」の部分だ。「アクセス権限の設定やルールによる『防止』、不正をしたらそのことが分かるログ取得や監視による『抑止』の二つに分けて、機会をコントロールするよう考えると分かりやすい」（伊藤氏）

　その上で、「従来の内部不正対策は『人』ベースで考えられてきた。しかし、守るべき『データ』を中心にして考えてみる必要がある。どの情報が価値が高いのかを棚卸しし、リスクを評価した上で、セキュリティ対策を考えていくことが重要だ」と述べた。

　では、守るべきデータはどこに保管されているだろうか。最も多いのは「ファイルサーバ」と「データベース」だろう。伊藤氏は、Impervaのデータベースファイアウォールやファイルサーバ保護製品によってデータの在り処を保護するとともに、ネットワーク上のパケットの可視化、クラウド上のデータに対するアクセス制御、そしてDLPによるクライアントPCの制御といった多面的な取り組みが、マイナンバー対応の中で必要になると説明した。ただ、「内部不正対策は何かを入れて終わりではない。いかにユーザーにけん制効果を働かせるかが重要」であるとも述べている。

相互連携の取れた多層防御で標的型攻撃に備えを——テクマトリックス

テクマトリックス ネットワーク営業部 部長の西脇一郎氏

　テクマトリックス ネットワーク営業部 部長の西脇一郎氏は、外部からの攻撃、特に標的型攻撃に起因するマイナンバー情報漏えい対策について解説を行った。

　既にさまざまな記事やセミナーでも指摘されている通り、標的型攻撃をはじめとするサイバー攻撃は、明確な目的の下に組織化されている。ブラックマーケットでの売買やツールキットの流通なども相まって「攻撃者が優位に立っている」（西脇氏）。これに対し「これまでのセキュリティ対策は、ゲートウェイでの対策に偏り過ぎていた。また、ポイントごとにマルチベンダーの機器がばらばらに導入されているため、管理が統合されておらず、担当者はアラートに追われてしまっている。しかも相互連携が取れていない」と同氏は指摘した。

　しかし、標的型攻撃から組織を守り、マイナンバーを含む情報流出を防ぐには、「適材適所でセキュリティ製品を導入するだけでなく、それらが連携することが必要だ。脅威を検知するだけにとどまらず、ブロックできる仕組みを実現することで、攻撃者側の手間とコストを増やしていくことができる」と西脇氏は述べた。

　そして、具体策としてパロアルトネットワークスの次世代ファイアウォールやクラウド型サンドボックス、エンドポイントセキュリティ製品の「Traps」などを紹介。脅威情報の共有やマルウェアの攻撃テクニックを阻止することにより、「攻撃の流れを形作る『鎖』の輪を一つを阻止する」と説明した。