ITpro Special
週間WEEKLY ITpro Special ITpro

マイナンバーを適切に運用する多層防御のセキュリティ対策

ブルーコートシステムズ

マイナンバーを適切に運用する
多層防御のセキュリティ対策

マイナンバー制度では、従業員の違法行為に対して企業も責任が問われるなど厳しい罰則が科せられる。ブルーコートシステムズでは、不正サイトへのアクセス検知と防御、管理対象の監視と事後分析、標的型攻撃への対応など、ステップを踏んだ対策を提案。企業が情報漏洩事故を起こさず、マイナンバーを適切に運用するためのセキュリティ対策を紹介した。

標的型対策と内部不正対策の両面で必要な安全管理

ブルーコートシステムズ
合同会社
データ・セキュリティ・スペシャリスト
髙岡 隆佳

 企業はマイナンバーの運用にあたり、特定個人情報の漏洩防止や適切な管理のために安全管理措置を講ずるとともに、従業員に対する適切な監督が必要になる。そして、企業が行うべき安全管理措置の内容として、ガイドラインでは基本方針の策定、取扱規定等の策定、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を示している。

 このうち、技術的安全管理措置ではアクセス制御やアクセスする人の識別と認証、不正アクセスの防止、情報漏洩などの防止について例示しているが、「セキュリティ対策の詳細について具体的に明記されておらず、企業のIT部門はマイナンバーの運用で何をすればいいのか悩むことも少なくないようです」とブルーコートの髙岡隆佳氏は指摘する。

 近年の情報漏洩事件は、クレジットカード情報や機密情報などを窃取する金銭目的の手口が目立つ。個人を特定できるマイナンバーも金銭目的の攻撃の対象となる恐れがある。「マイナンバーを運用管理する人事や経理担当者のアカウントは標的型攻撃のターゲットになるリスクがあります。そこで標的型攻撃対策と、管理者の不正を防ぐ内部不正対策の両面での安全管理が必要です」と髙岡氏は警鐘を鳴らす。内部不正が起こる原因は、管理者に過剰な権限を与え、管理者に任せきりになっていることだ。

 マイナンバーに関わる情報漏洩事件が発生した場合、適切な安全管理対策が取られていないと、企業は罰則が科せられる恐れがある。そのため、「常にアクセス状況を監視するなど、当局に安全管理の証拠を示す仕組みが必要です。情報の機微度と漏洩時のリスクのバランスを考え、適切な対策が企業に求められているのです」と髙岡氏は力説する。

多層防御とグローバルな脅威情報分析で攻撃を防ぐ

 企業活動を阻害する様々な脅威があるが、中でも注意が必要なのがWeb環境のリスクだ。管理者が意識せずにマルウエアが埋め込まれた「地雷サイト」にアクセスしてしまうと、管理権限が攻撃者に奪われてマイナンバーなどの情報が盗まれる。

 Webアクセス時のセキュリティ対策として、SSL暗号通信を利用する企業は多い。安全対策のはずが、SSL暗号通信の中身はファイアウォールなどのセキュリティ機器からは見えず、攻撃者が仕掛けたマルウエアも暗号化され侵入を許すことになる。外部からの攻撃と違い、既存のファイアウォールではこうしたWebアクセス時の防御が難しいのが実情だ。

 加えて、攻撃者の手口も巧妙化しており、単一のセキュリティ対策では攻撃から企業を守れないことも多い。そのため、複数の対策を組み合わせる「多層防御」の考え方が一般的になっている。例えば、先ほどのSSL通信の可視化、既知のWeb脅威を防御するWebフィルタリング、アンチウイルス、未知の脅威の振る舞いを分析するサンドボックスなどだ。ブルーコートでは、こうした多層防御に必要な製品群を用意するとともに、世界中の脅威情報を24時間365日収集し、同社のセキュリティ製品に反映する「Global Intelligence Network(GIN)」を構築・運用している。これにより、最新の脅威から企業のネットワークを保護する。

[画像のクリックで拡大表示]

事後対策に最適なフォレンジック

 マイナンバーの運用管理では、ネットワークフォレンジックによる事後対策が重要になる。「万一の情報漏洩発生時に、責任範囲の明確化や損害賠償の最小化を図り、企業責任を果たすためのツールとして非常に効果的です。そして、事件に対する検証可能な証拠を保全できます」と髙岡氏はネットワークフォレンジックの必要性を説明する。

 ネットワークフォレンジックは、ネットワーク上に流れるパケットをキャプチャーして常時監視するものだ。例えば、マイナンバーの管理責任者端末を監視し、怪しいアクセス先を把握するほか、内部へのポートスキャンなどのネットワーク上の動きを監視し不正アクセスを未然に防ぐことが可能だ。また、通信先のレポートを定期的に作成し、問題発生時に適切に対処することもできる。

 ブルーコートでは、重要度に応じて段階的にマイナンバーのセキュリティ(安全管理措置)を強化するソリューションを提案する。

 第1ステップは、WebフィルタリングやSSL暗号通信の復号化により、不正サイトへのアクセス検知と防御を行う。

 第2ステップは、ネットワークフォレンジックにより、管理対象となる人事・経理の業務用PCやマイナンバーが保管されたデータベースなどを監視し、事後対策の証拠を確保する。

 第3ステップは、サンドボックスで標的型攻撃の振る舞いを検知、分析する。

 「内部不正対策と標的型対策を適切に講じることにより、法律に違反せず企業のリスクを最小化できます」と髙岡氏は強調した。これらの対策はマイナンバーだけでなく、全てのデータセキュリティの基本になる。

[画像のクリックで拡大表示]
お問い合わせ