津田氏 総務省がガイドラインを出したということは、多くの団体や企業がこの動きに沿うことになるでしょう。インターネットが基本ツールで、数十億人が使っている。その変革ですから、この数十億人の人たちのかなりの割合がこのことを考え始める。さいは投げれられたわけです。だから、私が今日の対談で彼を呼んできたのは、そういうインターネットの根幹に関わることの1つが変わりつつあることを伝えたいと思ったからです。
では次に、情報漏えいについて議論したいと思います。お金を出しても情報を欲しい人がいる。そういうセキュリティ全体に関わることをマイナンバーは要求しているのです。結構これは大変なことです。佐々木さんはどうしていますか。
佐々木氏 まず今の話でいうと、もともと企業は機密性の高い情報を取り扱っているわけです。社員の個人情報を持っていたりとか、あるいは自社の設計情報とか特許情報とか、取引先の情報とか、そういったかなり大切な情報をいっぱい持っているわけなのですが、情報に対する姿勢というのはなかなか手をつけてなかった分野だと思います。
セキュリティというと、PCにウイルス対策ソフトを入れたり、ネットワークの出入り口にファイアウォールを入れたりする。それで終わりになっていた面があります。ところがマイナンバー制度は、国家プロジェクトでもあり、罰則規定もあるので、あらゆる人にかかわってきます。トラブルが起きれば「新聞沙汰」になるわけです。そのため非常にリスクを感じているわけです。
とにかく、何らかの対策を打たないといけない。それはITの施策かもしれないし、業務改善かもしれません。いずれにしても改善が必要です。これまでも本来ならやらなければいけなかった情報漏えい対策を、このマイナンバーを機に、企業としてやらざるを得なくなったのが現状です。
インターネットが巨大化したことで、セキュリティ対策における前提が変わった
自分のPCに何が含まれているかを把握しているのか
マイナンバー対策というと、狭い意味では人事や会計パッケージ、もしくはサービスにマイナンバー対策を施したもの、あるいはマイナンバーの収集保管廃棄サイクルを支えるサービス、ソフトウェアが挙げられます。これは既に多くの製品やサービスが出ていますので、利用するケースが多いと考えています。
ただ、もう1つ、マイナンバーを含む機密情報の漏えい対策に必要な要素で、あまりみなさん気付いてないところを今回リリースします。社内で使うPCなどにどんなファイルがあるか、把握していない人も多いと思います。そこには、実は多くの機密情報含まれている可能性がありますので、それを可視化するツールを出しました。
PC内にあるデータの定期的な棚卸し作業ができるので、どこにどのようなファイルがあるかを把握できます。それにより標的型攻撃に対してどこを守るべきかが分かるわけです。当然、基幹業務のデータベースは一番狙われるところなので、高いセキュリティを構築していると思いますが、年金機構では本来あってはならない情報が情報系のPCにあって、そこが攻撃されました。
PCはユーザーが操作しなくても別の場所にデータを保存することがあるので、それを把握できます。リリースした「PCFILTER」では、発見した重要なファイルを削除するか移動するか、あるいは転送できないようにするといった処理も可能です。また、企業の監査にも対応します。この部分は、多くの製品でも抜けているところです。さらに、重要なファイルを暗号化フォルダに入れるというケースもあります。間違って隣のフォルダに入れてしまった場合も検知して知らせてくれます。