楽天証券は多層防御でマイナンバーを安全管理 オラクルのデータベースセキュリティ製品はどう使われたのか?:DBアクセス制御、暗号化、監査で高セキュアな個人情報管理を実現(2/4 ページ)
マイナンバー制度がスタートし、証券会社は口座を持つ顧客のマイナンバーを適切に管理することが求められるようになった。そのためのシステムを、オラクルのデータベースセキュリティ製品を用いた多層防御のアプローチで短期構築したのが楽天証券だ。[セキュリティ対策][Database Security]
詳細なアクセス制御、暗号化、データベース監査──多層防御のアプローチでマイナンバーを安全に保管
こうして開発が始まった顧客情報管理システムでは、多面的なセキュリティ対策が講じられた。その1つがガイドラインの技術的安全措置に当たる内部不正への対策だ。寺島氏はこれについて、「例えば、マイナンバーが記録されているテーブルへのアクセスがあると、それをシステム側で検知してアラートを通知します。これを私たち情報セキュリティ部が受け取り、マイナンバーにアクセスした者に閲覧理由などをすぐに確認できる仕組みと体制を整えました」と説明する。
職務に応じた権限の分離も行われている。例えば情報セキュリティ部である寺島氏は、情報セキュリティに関する管理者のロールを持つが、「マイナンバーが記録されたテーブルどころか、システムに触る権限すらほとんど持っていません」(寺島氏)という。権限の分離が徹底されている。
また、ガイドラインの技術的安全措置に当たるものとして、機密データを保護するために、さまざまなレイヤーでマイナンバーを含む個人情報が暗号化されている。これについて、多層防御の考え方を採り入れて設計したと話すのは、主にデータベース基盤の運用管理を担当するIT本部 マーケットスピード開発部 部長のバルア・ショウミトラ氏である。
「アプリケーションのレイヤーで暗号化を行っている他、データベースに格納する際にも暗号化しています。さらに、ネットワーク上での送受信においても通信内容を暗号化するなど、多層防御のアプローチで情報を保護する仕組みを整えました」(ショウミトラ氏)
システムへのアクセスを適切に監視するための環境も整備した。マイナンバーを格納しているシステムに、いつ、誰がログインしたのか、それぞれがいつアクセス承認を得たのかなど、さまざまな情報がログとして記録し、それを情報セキュリティ部でチェックできるようになっている。
「ここでも多層防御のアプローチを採り入れ、各レイヤーのログを1カ所に集約した上で、それを監視/監査できる仕組みを構築しました」(ショウミトラ氏)
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年3月12日
Copyright © ITmedia, Inc. All Rights Reserved.
