「マイナンバーを含む情報は漏れる」ことを前提に、早期検知の仕組みを:ネットエージェントがPacketBlackHoleに機能追加
マイナンバー法の改正案が成立し、10月からはいよいよ番号の通知が始まる。番号制度に備えて、規定の整理や安全管理措置など、対策に取り組んでいる企業も増えているだろう。だが過去の歴史に学ぶと、対策を実施してもなお重要な情報が漏えいしてしまう確率はゼロとはいえない。その前提に立った対策が必要だとネットエージェントの取締役会長、杉浦隆幸氏は指摘する。
2015年9月3日、マイナンバー法の改正案が衆議院で可決され、成立した。日本年金機構における情報漏えい事件を踏まえて基礎年金番号とのひも付けを延期する一方で、金融機関の預金口座など民間分野での活用も視野に入れる内容だ。いずれにせよこれにより、2016年1月から開始されるマイナンバー制度の法的側面が整ったことになる。
マイナンバー制度開始に伴い企業には、人事・給与システムの改修はもちろん、マイナンバーを含む個人情報、いわゆる「特定個人情報」に対するさまざまな安全管理措置を取ることが求められる。だが、マイナンバーや個人情報の流出を懸念する声は後を絶たない。
「マイナンバーに関してはもともとの設計段階で、あまりセキュリティが考えられていない。そもそも有効桁数が11桁(12桁目はチェックデジットのため)という番号は短すぎ、日本人全員のマイナンバーデータをまとめたとしてもそれほど大きな容量にはならないし、ハッシュ化しても大して効果はない。それが全部漏れる可能性を覚悟して取り組んでいるのかというと疑問が残る」――ネットエージェント取締役会長の杉浦隆幸氏はこのように指摘する。
しかも、対応の度合いはいわば「二極化」している状況だ。ある程度の規模以上の企業では対応が進んでいる一方で、中小企業などでは「コストがかかる」「難しい」といった理由からそれほど進展していない。
その一方で、改正案によってマイナンバーの利用範囲は金融や医療などの分野にも広がる。「マイナンバーはいろいろなマシンから参照されることから、いつ漏れてもおかしくない。漏れることを前提にして対策に取り組む必要がある」と杉浦氏は述べる。
早期発見、早期対処できれば「おわび会見」せずに済む?
もちろん、漏えいを防ぐための対策を何も講じないのは論外だろう。だがポイントは、マイナンバー情報の流出は起こり得ることを前提に「流出したことにいち早く気付ける仕組み、見つける機構」を作ることだと杉浦氏は述べた。
杉浦氏によると、マイナンバーに限らず過去の情報漏えい事件を振り返ってみても、「99.5%は自分で漏えいしたことに気付かない。外部から指摘されて初めて気付くケースばかりだ。攻撃、あるいは従業員のミスによって情報漏えいが発生してしまう確率は一定程度あることは事実。早期発見、早期対処が重要だ」という。
ネットエージェントでは、こうした早期発見を支援するシステムとして「PacketBlackHole」を提供している。ネットワークを流れるパケットを全て収集し、その内容を解析することによって、自社にとって有害な添付ファイルなどが流れ込んでいないか、逆に自社から機密情報や個人情報が流出していないかを確認するアプライアンス製品だ。流出の「証拠」も押さえることができ、同社はこれを「ネットワークの監視カメラ」と表現している。
「個人情報保護法が国会に提出された頃にリリースした製品で、のべ1000件以上の導入実績がある」というPacketBlackHole。WinnyやShareといったP2Pファイル共有ソフト経由の情報漏えいや内部犯行対策など、その時々の手口に応じて対応してきた。
今回のマイナンバーも同様だ。ネットエージェントでは、マイナンバーを含むデータを検出する機能をPacketBlackHoleに追加し、2016年1月をめどにアップデートの形で提供する予定だ。既存顧客には無償で提供される。この機能は12桁の数字からなるデータ形式をチェックし、特定個人情報の流出を早期に発見するという。
「PacketBlackHoleを用いて自ら流出を発見し、早期に対処できれば、流出が拡大し外部の第三者に指摘されるといった事態を防ぐことができる」と杉浦氏は述べている。
なおネットエージェントは2015年4月に、ラックの子会社となっている。今後、PacketBlackHoleとラックのソリューションとの相乗効果を狙ったラインアップを展開する計画もあるという。
Copyright © ITmedia, Inc. All Rights Reserved.