動き出したマイナンバー、いまから見直す「多重・多層のセキュリティ対策」とは - (page 2)
2016年1月から運用が始まるマイナンバー。だがセキュリティ面においては、多くの中小企業が未着手であったり、大企業でも取り組み状況はまちまちだ。マイナンバーのセキュリティにどう取り組んでいけばいいのか。ITRでセキュリティを中心に調査・研究活動を行うアナリストの大杉豊氏に話を聞いた。
求められるセキュリティ対策とは
では、マイナンバーのセキュリティ対策として、企業はどんな措置を講じなければならないのか。大杉氏によると、マイナンバーのガイドラインで示されている安全管理策は、大きく次の6つになる(各説明文は大杉氏による)。
| (1)基本方針(ポリシー)の策定:特定個人情報等の適切な取り扱いの確保について、基本方針を策定し、従業員に周知徹底する |
| (2)取り扱い規定、マニュアル類の整備:特定個人情報の具体的な取り扱いを定める取扱い規定などを策定する |
| (3)組織的安全管理措置:組織体制の整備、取り扱い規定に基づく運用、取得状況を確認する手段、インシデントに対応する体制の整備 |
| (4)人的安全管理措置:特定個人情報取り扱い担当者の監督および教育 |
| (5)物理的安全管理措置:特定個人情報を取り扱う区域の管理、電子媒体などを含めた物理的機器の管理 |
| (6)技術的安全管理措置:アクセス制御、アクセス者の識別と認証、漏洩防止対策、外部からの不正アクセスの防止、インシデントに備えた技術的な対策 |
ポリシー策定から具体的対策まで、幅広い対策が求められている。このうち、特にIT部門が中心になって取り組むべき施策は(6)となる。具体的には、ガイドラインで次の4つの施策を整備することを求めている(各説明文は大杉氏による)
| (1)アクセス制御管理:アクセス権の可視化とロール管理、特権ID管理 |
| (2)アクセス者の識別と認証管理:多要素認証を用いた本人確認、アイデンティティ管理 |
| (3)不正アクセス対策:入口対策・出口対策(UTM/IPS/WAF/Sandboxなど)とデータセキュリティ(DBファイアウォール、DB暗号化など) |
| (4)情報漏洩防止対策:内部の振る舞い対策、拡散防止対策、ファイル転送管理、デバイス制御/通信制御管理、DLP、マルウェア対策など。 |
この4項目が、IT部門が取り組むべき施策の最低ラインだ。実際には、各社のセキュリティ対策の実施状況にあわせて、包括的なセキュリティ対策を行っていく必要がある。マイナンバー対策でのリスクの全体像を示したのが図2だ。
図2.「物理的安全管理措置/技術的安全管理措置」(特定個人情報流出に関するリスクの全体像)
出典:ITR
※クリックすると拡大画像が見られます
