マイナンバー対応は「騒ぎ過ぎず、楽観し過ぎず」で@ITマイナンバーセキュリティセミナーレポート(2/2 ページ)

» 2016年02月24日 05時00分 公開
[@IT]
前のページへ 1|2       

データに一番近い「データベース」自体で保護を——日本オラクル

日本オラクル クラウド・テクノロジー製品戦略統轄本部 Database/EM/Securityプロダクトマーケティング部 大澤清吾氏 日本オラクル クラウド・テクノロジー製品戦略統轄本部 Database/EM/Securityプロダクトマーケティング部 大澤清吾氏

 日本オラクルのクラウド・テクノロジー製品戦略統轄本部 Database/EM/Securityプロダクトマーケティング部の大澤清吾氏は、「事例に学ぶデータ管理視点の安全管理措置とセキュリティ対策のポイント」と題して講演を行い、「米ベライゾンのデータ漏えい/侵害調査報告書によると、2014年に米国では1億2000万件の社会保障番号が漏えいした。そして、データベースから盗まれた情報の割合は98%に達し、インシデントの70%は内部からのデータ漏えいだった。この三つの数字をぜひ覚えてほしい」と呼び掛けた。

 標的型攻撃に起因する情報漏えいの場合も、最終的にはユーザーアカウント情報、それもデータベース管理者など特権IDが盗まれ、悪用されて被害につながるケースが多いという。「入口対策や出口対策だけでは限界がある。データベース自体が保護されていないと、データの盗難や改ざん、破壊が容易に行われてしまう」(大澤氏)

 大澤氏はこうした状況に対し、データベースを提供する企業の責任として「データに一番近いところで、きちんと監視を行い、守る手伝いをしたい」としている。

 具体的には、「特定個人情報の適正な取扱に関するガイドライン」にも示されている「アクセス制御」「データの暗号化」「ログの分析による発見的対策」という3つのポイントを、データベース側で提供する。データベースというインフラそのもので対応すればパフォーマンスへの影響も少なく、アプリケーションに改修を加えて対処するよりも大きなコストメリットが得られるという。日本オラクルではその手助けとして「内部犯行対策」や「マイナンバー対策」といった目的別に、支援テンプレートを無償で提供している。

「ダメージコントロール」の前にできる対策とは——ハミングヘッズ

ハミングヘッズ 石津広也氏 ハミングヘッズ 石津広也氏

 ハミングヘッズの石津広也氏は、マイナンバー対応の中で求められる安全管理措置の中でもエンドポイントセキュリティ技術にフォーカスし、内部不正と、標的型攻撃をはじめとする外部からの不正アクセス双方に対し、純国産技術に基づく対策を提供すると説明した。

 一つは、内部からの情報漏えいに備えた「Security Platform」だ。データが社内LANから外部に出た場合に自動的に暗号化を行い、社内に戻れば復号する。また、キー入力も含めた端末上の操作も全てログとして記録されるので、「漏えいが発生したとき、自分はやっていないという『無実の証明』が可能になる」(石津氏)

 一方の標的型攻撃は、さまざまなメディアで報じられている通り、未知のマルウェアを用いたり、巧妙なソーシャルエンジニアリングを用いたりと、さまざまな手口によって侵入を試みる。このため、既存のウイルス対策ソフトでは食い止められず、被害の早期検出、早期復旧による「ダメージコントロール」に注目が集まっている。

 しかし「標的型攻撃に対する抜本的対策はある。それを考えて作られた製品が、Defense Platformだ」と石津氏は述べた。このセキュリティソフトはWindows APIの動作を監視し、脆弱性を悪用するような命令が実行されようとするとアラートを出す。「偉い人ほど添付ファイルを開いてしまう傾向が高いが、その開いたときの悪事を止めることができる。ダメージコントロールの前に止められる」とした。同社では、マイナンバー保護のための安全管理措置を支援するため、両製品をセットにした新製品もリリースする予定という。

秘密分散法で漏えいや紛失があっても意味のないデータに——TCSI

TCSI 代表取締役社長 田口善一氏 TCSI 代表取締役社長 田口善一氏

 マイナンバー対応で求められる安全管理措置の一つに「暗号化」がある。暗号化の手法はさまざまあるが、TCSIの代表取締役社長、田口善一氏は「AONT秘密分散法」を活用したセキュリティソリューション「PASERI」を、デモンストレーションを交えながら紹介した。

 PASERIは、重要なデータを鍵を用いて丸ごと暗号化するのではなく、複数のデータに分割しながら暗号化する製品だ。分割されたデータ1片だけから元データを復元することはできず、意味のないデータとなる。仮に、内部犯行やマルウェア感染によってデータが盗まれたり、端末が紛失や盗難にあったりしても、全ての分散片がそろわなければ元のデータは復元できないため、漏えいなど最悪の事態は防ぐ仕組みだ。「盗難などを100%防ぐことはできない。PASERIは、そうした防ぐための努力からユーザーを解放する」(田口氏)

 同社はこの技術をベースに、マイナンバー対応向けの「PASERI for MyNO」も用意している。これは、専用のUSBメモリを活用し、既存のPC上で安全に特定個人情報を扱えるようにするソリューションだ。「USBメモリを接続し、パスワードを入力して起動すると、PCはネットワークから遮断され、マイナンバー情報用の仮想ドライブが出現する。プリントなど特定の操作を禁止することも可能だ。USBキーを抜くとPCは元通りに使えるが、情報は無意味なデータに変換され、分割保存される。あとはUSBキーを肌身離さず持ち歩くか、あるいは金庫に入れるなどして適切に管理すればいい」(田口氏)。同社では、マイナンバー対応だけにとどまらず、IoT(Internet of Things)など新しい分野も見据えて、漏えい対策に取り組んでいくという。

何から何を守るのかを明確にし、対策を積み重ねた博報堂アイ・スタジオの実践

 日本を代表する広告代理店、博報堂DYグループ。博報堂アイ・スタジオは、同グループのデジタル領域を担う企業として設立され、現在はオウンドメディアを中心に統合的なデジタルマーケティングを提供することで、クライントのビジネス課題解決のサポートを行っている。2004年1月にはプライバシーマークを取得し、クライアントからの委託に基づいてキャンペーンや会員サイトで取り扱われる個人情報も取り扱っている。そうした経験を生かし、安全管理措置全般のコンサルティングサービスも提供するなど、幅広い業務を担ってきた。

 その同社では、個人情報をどのように守り、管理してきたのか。そしてその延長線上でマイナンバー制度にどのように対応しているのか。同社セキュリティコンサルティング部/標準化推進部の坂手宏充氏と山崎紘一氏が説明した。

博報堂アイ・スタジオ セキュリティコンサルティング部/標準化推進部の坂手宏充氏 博報堂アイ・スタジオ セキュリティコンサルティング部/標準化推進部の坂手宏充氏

 セキュリティ対策の方針を決めるには、「何から」「何を」守るのかを確認することが重要だ。博報堂アイ・スタジオも、「個人情報はどのような経路で流出する恐れがあるか」「自社が取り扱う個人情報にはどのようなものがあるか」を幾つかの類型に整理した上で、必要な対策を講じている。対策の中にはさまざまなセキュリティ製品の導入もあれば、物理的な対策、組織面での対策、さらには「人が必ずダブルチェックを行う」といったプロセス、手順面での対策など、扱う個人情報のパターンに応じて多面的な取り組みを行っているという。

 坂手氏によると博報堂アイ・スタジオでは、個人情報流出の原因を「意図しない誤操作やミス」「悪意ある情報持ち出し」「ハッキング/不正アクセス」「標的型攻撃」の4つに分類している。一方、守るべき個人情報の方はその性質に応じて「クライアントからの委託で扱う個人情報」「自社サービス運用の個人情報」「社員情報・個人事業主情報」の3タイプに分け、流出原因ごとに対策を実施してきた。

 中でも「クライアントからの委託で扱う個人情報」に関しては、厳密かつ柔軟な対応が求められる。そこで「案件ごとに、この個人情報は誰が扱えるかをバイネームで明記することにしている。中には、私ですらアクセスできない個人情報もある。こうすることによって、誤操作や管理ミスをなくし、悪意ある持ち出しの抑止になると期待している」(坂手氏)。メールの誤送信といった事態を防ぐため、承認フローやダブルチェック体制を確立する他、物理的安全管理措置として、セキュリティルームに加え「個人情報保護ルーム」を設置し、そこ以外で委託された個人情報の取り扱いを禁じることとした。

 このようにして、ミスや悪意ある持ち出しといった内部関係者に起因する情報流出を防止するとともに、外部からの不正アクセスや標的型攻撃に対しては、Webアプリケーションファイアウォール(WAF)や不正侵入検知システム(IDS)、「秘文」によるアクセス制限やログ監視といった技術的対策を講じている。さらに、Webアプリケーションに対しては、診断ツール「VEX」を用いて構築・納品時だけでなく定期的に脆弱性検査を行うことで、SQLインジェクションなどの攻撃の芽をつぶしているということだ。

 二つ目の「自社サービス運用の個人情報」は、扱う情報が多岐にわたる。ソーシャルネットワークサービスを利用するときのように、個人情報の取得に該当するか否かの判断が難しいシーンも含まれるため、「やはり業務フローを洗い出し、リスクを認識することが第一だ」(坂手氏)

 そして、最後の「社員情報・個人事業主情報」が、セミナーのテーマでもあるマイナンバー対応に関わってくる部分だ。ただ、業務フローがある程度固定されていることもあり、扱いは比較的容易だという。「『この業務フローではマイナンバー対応が発生するか?』ということを確認し、マニュアルに落とし込んでいく。やはり業務フローが重要になる」と坂手氏は述べる。

博報堂アイ・スタジオ セキュリティコンサルティング部/標準化推進部 山崎紘一氏 博報堂アイ・スタジオ セキュリティコンサルティング部/標準化推進部 山崎紘一氏

 「現状では、クライアントからの委託で扱う個人情報ほどの対策はとれていないが、4つの流出の類型と現状の対策を組み合わせることで、何も新規に『マイナンバー対策』を講じなくても、効果的な対策は可能になる」(坂手氏)。同氏は、「マイナンバー対応だけを目的としたセキュリティはすべきではない」というセミナー全体のテーマに同意した上で、「今までやってきたことのアップデートに組み込む形で対応を進める」ことが重要だとした。

 もう一つ、同社が重視した点がある。部門ごとにやみくもにルールを定めるだけでは、形骸化したり、部署間で責任の押し付け合いになったりする恐れがある。「個人情報にがんじがらめに縛られ、ルールが多過ぎると、それが形骸化して立ち行かなくなる恐れがある。そこで『情報セキュリティ推進部』という組織を設立し、個人情報やセキュリティに関するルールや対策を一元管理するようにした」(山崎氏)。

 情報セキュリティ推進部では、全社共通の「個人情報リスクマネジメントガイドライン」を作成し、データの取り扱い方法とそれぞれのリスクレベルを定義した。そして、部署ごとに作成していたマニュアルも統一し、個人情報の種類ごとに共通化することで、対応のばらつきや漏れを排除した。「マイナンバー制度に際しても、このマニュアルを修正するだけで、比較的シンプルに対応できる」(山崎氏)。統一されたマニュアル、つまりベースラインを定めることにより、今後の部署新設やプロジェクト追加にも慌てずに済む体制が整ったという。セキュリティ対策の必要性が求められる昨今、同社では今回紹介した方針策定を含め、セキュリティコンサルティングも実施している。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。