ITpro Special
週間WEEKLY ITpro Special ITpro

ジランソフトが提供するマイナンバー対応策

2016年1月から運用がスタートする「マイナンバー制度」においては、「特定個人情報」となるマイナンバー情報に関わる厳格な「安全管理措置」が求められている。そこで企業において重要な課題となるのが、収集したマイナンバー情報をいかに安全に管理・運用していくかという問題だ。ジランソフトジャパンが提供するオンラインストレージ「DirectCloud-BOX」では、豊富な情報漏洩対策機能を提供することで、企業のマイナンバー対応をめぐる課題を解消している。

データ運用プロセスを踏まえた豊富なセキュリティ機能を提供

取締役 安 貞善<br>(アン・ジョンソン)氏
安 貞善(アン・ジョンソン)氏
株式会社Jiransoft Japan (ジランソフトジャパン) ダイレクトクラウド事業部 事業総括 取締役

 「マイナンバー制度」の運用開始が間近に迫っている。2016年1月以降には、企業が従業員への給与の支給や健康保険、厚生年金など、税や社会保障に関して行政機関に提出する法定調書には、全て従業員本人およびその扶養家族のマイナンバーの記載が求められることになる。企業がその対応準備を進める上で、とりわけ留意すべきポイントとなるのが、今回のマイナンバーにまつわる情報が『特定個人情報』に指定されるもので、厳格な「安全管理措置」が求められているということである。適正な取り扱いがなされずに生じた情報漏洩事故などに対しては、明確な罰則規定も設けられている。

 「従って企業には、従業員のマイナンバーを含む個人情報を取り扱う人事・給与などの業務において、情報漏洩の防止に向けたセキュリティ対策を、従来にも増して強化していく必要があります。そして、それこそが企業のマイナンバー制度への対応に関わる最重要の課題だといっていいでしょう」とジランソフトジャパンの安貞善氏は強調する。

 

 ジランソフトジャパンが提供する“ビジネス向け”オンラインストレージ「DirectCloud-BOX」は、マイナンバー対応をめぐって企業が直面しているそうした課題を解消するサービスだ。その最大の特長は、ファイルの共有や送受信など一般的なオンラインストレージサービスの機能に加え、“ビジネス向け”ならではの高度なセキュリティ上の安全性と信頼性を提供していることだ。DirectCloud-BOXには、企業がマイナンバーを運用していく業務プロセスをトータルに踏まえた情報漏洩対策機能が備わっている。

管理ページのダッシュボードでは社員のファイルの利用状況がひとめで確認できる
管理ページのダッシュボードでは社員のファイルの利用状況がひとめで確認できる
[画像のクリックで拡大表示]

 情報漏洩の原因の多くが、うっかりミスや添付メールの誤送信と言われている。 大事なポイントは、情報漏洩につながる利用シーンをなくすことだ。たとえば、USBメモリや個人向けオンラインストレージを利用できないようにする、マイナンバーを含む個人情報に勝手にアクセスしたり外部に送信できないようにするなど、システム側で強制的に利用を制限する仕組みを整備する必要がある。

マイナンバーを含む情報漏洩の原因と対策
マイナンバーを含む情報漏洩の原因と対策
[画像のクリックで拡大表示]

 悪意のある第三者は、関係者を装ってWebサイトを改ざんし、閲覧した従業員のPCを不正プログラムに感染させたり、マイナンバーを含む個人情報を窃取したり、巧妙な手口で不正にアクセスしてくる。従って、マイナンバーを含む個人情報を狙う標的型サイバー攻撃に対してもセキュリティ対策が必要だ。

マイナンバー情報を狙う標的型サイバー攻撃への対策
マイナンバー情報を狙う標的型サイバー攻撃への対策
[画像のクリックで拡大表示]

 DirectCloud-BOXを利用すれば、Microsoft Office文書がブラウザやスマートフォンの画面上で、レイアウトを崩すことなく閲覧できる。また、ブラウザやスマートフォンにデータをダウンロードしたりキャッシュデータを残したりすることなくドキュメントが利用できるため、情報漏洩リスクを回避することができる。同社では、Microsoft Office のWord 、Excel、および PowerPoint形式のファイルだけでなく、PDF、JPEG、BMP、GIFなどさまざまな形式のファイルがプレビューできる機能を提供している。

入口から出口までアクセスに関わる高度な安全性を堅牢に担保

計 和友紀(はかり かずゆき)氏
計 和友紀(はかり かずゆき)氏
株式会社Jiransoft Japan (ジランソフトジャパン) ダイレクトクラウド事業部 事業推進室 室長

 注目すべきは、企業が従業員から収集したマイナンバー情報の格納先となるオンラインストレージサービスそのものの堅牢性だ。具体的には、外部からの攻撃に対しても万全の備えが施されていなければならない。「DirectCloud-BOXでは、お客様のデータ資産を各種の外部脅威から確実に保護するため、システムの脆弱性把握はもちろん、サーバーログのチェックなど運用面での対応、あるいはファイアウォールやIDS、ウイルスゲートウエイによる入口対策、情報の外部送信についての監視を含む出口対策の両面で防御を行っており、近年、被害が拡大している標的型攻撃にも万全の備えを整えています」とジランソフトジャパンの計和友紀氏は紹介する。

 また、企業が保持するマイナンバー情報は、常に企業が定めたしかるべき権限を有する従業員によって、適正なデバイスからアクセスされるかたちで利用されなければならない。DirectCloud-BOXでは、ID・パスワードによるユーザー認証はもちろん、IPアドレス制限やデバイス制限によって不正なユーザーやデバイスからのアクセスを管理者が確実に排除することができる。加えて、あらかじめ設定されたユーザー権限に基づく詳細なアクセス制御が可能となっている。

 例えば、ユーザーごとにアクセス可能なファイルやフォルダを指定したり、ファイルダウンロード、編集、転送など、ユーザーに実施を許可する操作を細かに設定できるほか、専用文書ビューアによってファイルのダウンロードをさせずに閲覧のみを許可するといったことも可能である。

管理者画面で社員のファイル転送時のポリシーを設定することが可能
管理者画面で社員のファイル転送時のポリシーを設定することが可能
[画像のクリックで拡大表示]

 「あわせてDirectCloud-BOXでは、管理者が許可したデバイスのみのアクセスを許可するホワイトリスト方式により強固なデバイス認証を実現しているほか、パスワードポリシーの設定によって、強度の低いパスワードの設定を禁止したり、パスワードに有効期限を設けるといったこともできるようになっており、データアクセスに関わる、より高度な安全性を担保しています」と計氏は紹介する。

管理者画面で簡単な操作でデバイス認証の設定が行える
管理者画面で簡単な操作でデバイス認証の設定が行える

 さらに、仮にしかるべきアクセス権限を有するユーザーが、許可されたデバイスからアクセスした場合にも、そこでどのような操作が行われたかをしっかりと把握することが、マイナンバー情報の安全な運用、あるいは万一の情報漏洩など不測の事態の発生に向けた証跡確保という観点からも不可欠だ。これについてもDirectCloud-BOXでは、「誰が」「いつ」「どのファイルに」「どのような操作を行ったか」を明確に把握できるアクセスログ、ファイル操作ログの取得も可能となっている。

最新の暗号化アルゴリズム採用で通信経路のセキュリティも万全

 マイナンバー情報の運用においては、例えば本社と拠点間での情報のやりとり、さらには社会保険労務士など社外への情報の持ち出しも想定しておく必要があろう。こうした場合、輸送に伴うリスクを抱える書類での物理的な受け渡しではなく、インターネット経由でデータ授受が行える点はオンラインストレージのメリットといえる。ただし、その際にも通信経路のセキュリティを担保することは重要である。

 「それについてもDirectCloud-BOXでは、オンラインストレージ上のデータ自体が『AES256』によって暗号化されていることに加え、データのアップロード/ダウンロード時にもすべてのデータが『SSL』で完全に暗号化された状態で転送されます。これにより、ハッキングや盗聴、データの横取り、改ざんなど、実際起こり得るさまざまな脅威からデータを守ることができます」と安氏は説明する。

 また、マイナンバーの運用に関して見落とされがちなのが「削除・破棄」に関わる対応である。企業は退職者が発生した際には、当該の従業員やその扶養者に関わるマイナンバー情報を所定期間内に速やかに削除・破棄しなければならない。これに対しDirectCloud-BOXには、データの保存期限を設定して、指定した期限を過ぎるとシステムが自動消去を行うといった便利な機能も用意されている。

 「情報漏洩リスクの排除に向けたセキュリティ対策は、企業におけるマイナンバー対応の根幹。オンラインストレージとしての利便性と強固なセキュリティ機能を兼備したDirectCloud-BOXは、特に制度対応に向けた予算や人的リソースに限りのある中堅・中小企業のお客様にとって、最適なソリューションとなるはずです」と安氏は改めて強調する。また今後、クラウドストレージ内の個人情報をフィルタリングする機能なども追加予定だ。

 9月30~10月2日に東京ビッグサイトで開催されるITpro EXPO 2015のJiransoft Japanのブースではこれらの機能を体験することができる。間近に迫る「マイナンバー制度」の運用開始前に、まず体験してみることが安全管理への早道といえそうだ。

お問い合わせ