動き出したマイナンバー、いまから見直す「多重・多層のセキュリティ対策」とは - (page 3)
2016年1月から運用が始まるマイナンバー。だがセキュリティ面においては、多くの中小企業が未着手であったり、大企業でも取り組み状況はまちまちだ。マイナンバーのセキュリティにどう取り組んでいけばいいのか。ITRでセキュリティを中心に調査・研究活動を行うアナリストの大杉豊氏に話を聞いた。
「完全な防御」は可能か-ポイントを押さえた対策を
とはいえ、ガイドラインにしたがって、すべてを実施しようとすると、コストや負担が大きくなり、取り組み自体が進まないことにもなりかねない。ポイントを押さえた対策を効率よく実施していくことが大切だ。
大杉氏によると、1つめのポイントは、マイナンバー対応で追加される社内の業務プロセスを明確化することだ。マイナンバー対応では、大きく、以下の図3のような業務プロセスが追加される。
出典:ITR
※クリックすると拡大画像が見られます
ここで盲点になりやすいのは、個人情報保護法と異なり、マイナンバーを記載した書類やマイナンバー自体を廃棄、削除する必要があることだ。削除のために自動的にアラートを出したり、1年に数回の頻度で定期的に削除することをルール化したりといったように、業務プロセスに落とし込んで、整備していくことが大切だ。
2つめのポイントは、攻撃に対する多重・多層の防御を実施することだ。すでに多くの事件が発生していることからもわかるように、情報漏洩の要因は大きく、内からの脅威と外からの脅威がある。これら2つの脅威に対抗するためには、「内に対してはこの対策、外に対してはこの対策」といったような防御では対抗できないという。
「関係者による内部不正も外部からのサイバー攻撃も複合的に起こります。そのため、1つの対策に頼るのではなく、多重・多層の防御を講じていくことが求められます。内、外のセキュリティを、物理セキュリティ、組織的セキュリティ、ネットワークセキュリティ、クライアントセキュリティ、データセキュリティなどの観点で、多重・多層化されているか見直すことをおすすめします」(大杉氏)
出典:ITR
※クリックすると拡大画像が見られます
3つめは、100%のセキュリティ対策を求めないということだ。過去に情報漏洩事故を起こした企業を見ても、十分な対策を行っていても事故が発生しているケースが多い。
「そのため、攻撃を完全に防ぐことはできないと思ったほうがいいでしょう。どんなに防御をしても破られます。そこで重要になるのが防御を破られてもすぐに対策して情報を外に出さないようにする取り組みです」(同氏)
たとえば、ログをエビデンスとして残したり、フォレンジックを行って被害を最小化するといった取り組みだ。高価なツールを導入できなくても、ルールをつくり、PDCAサイクルで定期的に見直すだけで、問題の発見を早めることが可能だという。必要に応じて、新しい技術を使った新しいソリューションの導入も検討していく。たとえば、デジタル・フォレンジックツールの予防的な活用や、SDN技術を使ったセキュリティ対策を自動化などだ。
そのうえで大杉氏は、「すべての企業が否応なしにマイナンバー対応を行う必要があります。IT部門だけではそのすべてに対応することはできませんが、システム対応を含め、対応の要件を把握できるIT部門が主導的な旗振りを行っていくことが求められます」と、アドバイスする。
本格運用が迫るマイナンバー。取り組みの範囲は広く、多岐にわたるが、ポイントを抑えたセキュリティ対策を実施していくことが大切だ。