検索
Special

マイナンバー対応が難しい理由と、その壁を突破する5つの道具特別企画:いまから確実にマイナンバーに対応する方法(前編)(3/3 ページ)

2015年9月、改正マイナンバー法が成立し、全国の企業、地方自治体で対応に向けた動きが本格化している。多くの組織が直面している課題は、いかにして短い期間で必要な安全管理措置を把握し、的確に実装するかということだ。そのポイントと、効果的に作業を進めるうえで有効なツールおよび活用例を日本オラクルのスペシャリストらに聞いた。[セキュリティ対策][Database Security]

PC用表示
Share
Tweet
LINE
Hatena
PR
前のページへ |       

改正マイナンバー法対応には参考になる「前例がない」

 以上のようなポイントは、実際のマイナンバー対応プロジェクトの支援を通じて日本オラクルが蓄積したノウハウの一部だが、マイナンバー対応に取り組む全ての組織の担当者が、こうしたポイントを把握しているわけではないようだ。全国の事業者、自治体が同時並行で対応作業を進めているということは、各組織が取り組みを進めるに当たって参考となる前例がないことを意味する。どのように進めれば短期間で的確に対応できるのか、思案に暮れている担当者も少なくないだろう。

的確かつ迅速なマイナンバー対応を実現するテンプレートを無償提供

 そうしたマイナンバー対応を支援すべく、日本オラクルは「マイナンバー・スタートアップ・テンプレート」を無償で提供している(地方自治体向けについては、2015年7月にプレスリリースで公表)。これは、全国の事業者、行政機関、地方自治体を対象に、マイナンバー制度の安全管理措置で求められる要件と施策の整理、データセキュリティ対策の具体的な検討と実装を支援するサービスであり、次のような内容で構成される。

 これらを活用することで、マイナンバー対応のプロセスを的確かつ効率的に進められるようになる。また、既存システムのセキュリティ対策を強化する目的で利用することも可能だ。それにより、効果的なデータベースセキュリティ対策を短期間で実装することができる。

三つの安全管理措置「暗号化」「アクセス制御」「監査」はテンプレートで

 マイナンバー・スタートアップ・テンプレートの核となるのは、下図に示す四つのテンプレートとヒアリングシート(以下、マイナンバーテンプレート)の計五点だ。

 マイナンバーテンプレートには、日本オラクルのセキュリティコンサルタントらが公共機関や企業のマイナンバー対応を支援する中で蓄積したノウハウと知見が凝集されている。これらを使うことで、大澤氏が挙げた三つのポイントにも考慮しながら、マイナンバー対応の作業を速やかに進められるのである。

 このうち、(1)〜(3)はガイドラインにおける「特定個人情報に関する安全管理措置」で示されている三つの安全管理措置※1に対応したものであり、「アクセス制御」「データ暗号化」「監査」をカバーしている。その実体は、オラクルが提供する次の三つのセキュリティソリューションの実装テンプレートだ。

  • Oracle Database Vault:データベースアクセス制御ソリューション。データベース管理者など特権ユーザーのマイナンバーデータなどの機密データへのアクセスも厳格かつ詳細にコントロールすることで、安全管理で求められるアクセス制御を実現するとともに、内部犯行や標的型攻撃からの情報漏えいを防止する
  • Oracle Advanced Security Transparent Data Encryption:データ暗号化ソリューション。既存アプリケーションの変更なしでデータベースの高速な暗号化/復号を実現する
  • Oracle Audit Vault and Database Firewall:データベース監査ソリューション。データベースを含むシステム全体のアクセス証跡を記録/管理し、リポートやアラートを活用して不正アクセスを検知/発見する

※1 ガイドラインの「c 電子媒体等を持ち出す場合の漏えい等の防止」に対応した物理的安全管理措置と、「a アクセス制御」「d 情報漏えい等の防止」に対応した技術的安全管理措置。詳しくは本サイト掲載記事「全ての企業が対応必須:DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点”」を参照されたい。



 「三つの実装テンプレートは、データベースのアクセス制御、暗号化、監査の各ソリューションを短期間で導入するための情報をまとめたもので、導入後の設定を適切に行うためのサンプルスクリプトや運用手順書も含まれています。もともとは企業の情報セキュリティで重大な脅威となっている内部犯行対策の支援を目的に作成したものです。内部犯行対策でも、アクセス制御やデータベース暗号化、監査といったデータベースセキュリティ対策が肝になりますが、これはマイナンバー対応でも同様です。いずれのソリューションも既に世界中で多くの実績を持ち、その有効性は実証されています。それらを迅速に導入し、すぐに使える状態にできるという点が、三つの実装テンプレートを使う非常に大きな利点です」(大澤氏)

ガイドラインに対応したヒアリングシートで関連部署の業務要件を確認

 一方、前掲の図中の(4)、(5)は、マイナンバー対応支援のために日本オラクルのコンサルタントが新たに作成したものだ。このうち、(4)のテンプレートでは、マイナンバーを格納するデータベースに対するアクセス制御対策の設定手順と、安全管理措置を実現する暗号化/監査の設定手順をまとめている。これを(1)〜(3)のテンプレートとともに使うことで、上述した各ソリューションをマイナンバー対応の目的で速やかに導入することができる。

 また、(5)のヒアリングシートは、ガイドラインに沿って関連する各部署/担当者が必要な検討と対策を抜け漏れなく進めるためのものだ。このヒアリングシートでは、ガイドラインの主要な記載内容が整理/細分化されており、それぞれの内容について各担当者にヒアリングすべき事項、検討すべきIT施策を把握できるようになっている。

 「お客さまの中には、ガイドラインで示された安全管理措置を自社システムにどう実装すべきかでお悩みの方が少なくありません。そうした場合は、ヒアリングシートを使っていただくことで、それぞれの部署/役割の方が業務の中でマイナンバーをどのように扱い、それに応じて情報システム側でどういった対策を施すべきかを速やかに把握し、検討を進めることができます」(大澤氏)

 例えば、先に特定個人情報ファイルへのアクセス制御で触れたようなシステム/データベースの内部的な参照関係は、給与帳票などを見ただけでは全てが分からず、経理部門などの業務担当者も把握していないケースがほとんどだろう。その状態のままでマイナンバー対応を進めた場合、抜けや漏れが生じ、大きな手戻りが発生する可能性がある。

 「マイナンバー対応の取り組みで鍵となるのは、マイナンバーがどのような業務でどう使われるのかを明確にするとともに、その背後でシステム/データベースがどのように連携するのかを把握し、必要な安全管理措置を講じることです。ヒアリングシートを使うことで、その作業に必要な情報を各部署へのヒアリングを通じて明らかにし、採るべき施策を抜け漏れなく検討できます。その上でテンプレートをご活用いただくことで、安全管理措置に準拠した実装を短期間で実現することができるのです」(大澤氏)

 日本オラクルは現在、多くの組織のプロジェクトでマイナンバーテンプレートを活用し、的確かつ速やかなマイナンバー対応を支援している。次回は、実際にそれらのプロジェクトで同テンプレートがどのように活用されているのかを紹介したい。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年11月15日

関連情報

驚異的なパフォーマンス、優れた運用効率、最高の可用性とセキュリティ、クラウド対応を実現するOracle Exadataとの統合、クラウド、可用性や運用管理など、次世代データベース基盤構築のために参考になる必見資料をまとめてご紹介いたします。

ページトップに戻る