ITpro Special
週間WEEKLY ITpro Special ITpro

マイナンバーの流失を防ぐ対策を公開

標的型攻撃による被害が日増しに深刻化している。そうした中で、2016年1月から「マイナンバー」制度の運用が始まった。巧妙になる攻撃側の手口に対し、情報の中でも最も慎重な取り扱いを求められるマイナンバーにどのように向き合えばよいのか。情報セキュリティの第一人者がそれぞれの考えを披露した。

弁護士 国立情報学研究所
マイナンバー対応という目的に限らず
営業秘密の保持も念頭に置いて対策を

弁護士
国立情報学研究所 客員教授
岡村 久道 氏

 マイナンバー制度の開始に伴い、最大の関心事は個人番号(マイナンバー)の取り扱いだ。弁護士の岡村久道氏は「番号法(マイナンバー法)には、施行令、関連政令、関連府省令、ガイドラインなどがあり、法体系は複雑です。しかも、番号法は特別法で、一般法である個人情報保護法も適用されます」と話す。

 特定個人情報保護委員会は2014年12月にガイドラインを公表し、取り扱いの指針を示している。「ガイドラインのうち一部はその後、更新されており、変更点にも留意してください」(岡村氏)。マイナンバー取り扱いの基本は、・取得、・利用、・保存、・提供、・削除・廃棄という各段階で対策を講じることだ。これは情報ライフサイクル管理(Information Lifecycle Management=ILM)そのものだ。

 「不正競争防止法の改正で、営業秘密の漏洩にも網がかかりました。マイナンバー対応と根幹は変わらないので、それも念頭に置き対策を講じてください」。岡村氏はこうアドバイスして講演を終えた。

ラック
年金機構の個人情報流失事件は教材
セキュリティ対策の指針になる報告書

株式会社ラック
チーフエバンジェリスト
川口 洋 氏

 日本年金機構で発生した125万件の個人情報の流失。日本年金機構、サイバーセキュリティ戦略本部、厚生労働大臣が立ち上げた第三者検証委員会はそれぞれ報告書を公表した。いずれも本編だけで合計100ページを超える。ラックの川口洋氏は「セキュリティ対策を考える上で貴重な資料です。他山の石としてぜひ一読してほしい」と話す。

 川口氏は組織、業務、事前対策、事後対応という四つの視点で社内のセキュリティ対策と比較しながら読むことを勧める。日本年金機構や厚生労働省の対応に不備は多々あったが、それらは企業など数多くの企業にも当てはまる課題でもある。

 「事業継続の観点から経営者の理解を得ることが大切です。セキュリティ対策は予算の制約を受けるので、どこかで落としどころを見つけなければなりません。同じ対策を講じていても使い方次第で変わってきます。皆さんの会社の業務に合った使い方を見つけてください」。川口氏はこうアドバイスして講演を終えた。

JPCERTコーディネーションセンター
攻撃者の侵入を阻止することは不可能に
早く侵入を見つけ、すぐに追い出せる体制を

一般社団法人JPCERT コーディネーションセンター
早期警戒グループ
技術アドバイザー
満永 拓邦 氏

 米セキュリティ会社のMandiantによると、攻撃者が組織内に侵入してから検知するまでに要した期間の平均は356日に上る。国内事例でも、1年近く侵入に気付かないことは多い。「最善を尽くしても全ての攻撃を防げる訳ではないので、早く侵入を見つけ、すぐに追い出せる体制を整える必要がある。まずは組織の現状を把握し、基本的な対策から適切に実施すべき」とJPCERTコーディネーションセンターの満永拓邦氏は話す。

 マイナンバー制度に対応するため、満永氏は特定個人情報保護委員会のガイドラインとともに、日本ネットワークセキュリティ協会が公開した「マイナンバーの安全管理措置チェックシート」の活用も勧める。「マイナンバーだけにとらわれず、その他の情報資産についてもリスク評価と対策を再度見直すべきです。インシデント発生時に迅速に対応し、被害の軽減を図るためにも、組織内にCSIRT(Computer Security Incident Response Team)を構築してください」。満永氏はこう話して講演を終えた。

JIDC Japan
個人情報の棚卸しと防御体制の見直しを
経営者との意思疎通を緊密化する工夫も

IDC Japan株式会社
ソフトウェア&セキュリティ リサーチマネージャー
登坂 恒夫 氏

 マイナンバー制度の運用が始まる一方で、日本国内のセキュリティ被害は深刻化している。IDC Japanが2015年1月に実施した調査では、被害を発見してから収束するまでの時間は2014年1月の調査よりも長くなり、被害の第三者による通報が増加している。「マイナンバー対策として、サイバーセキュリティ対策を基本に据え、その上で特定個人情報保護委員会のガイドラインの安全管理措置に対応すべきです。また、クラウドサービスのセキュリティ責任の分界点を確認しておくことも大切です」。IDC Japanの登坂恒夫氏はこう話す。

 経営者がセキュリティリスクの重大性を理解することも大切だ。「被害の確認後、迅速な対処をするためには、CISOやセキュリティ担当責任者が経営者と日ごろから緊密なコミュニケーションを図る必要があり、その再確認も欠かせません」(登坂氏)。IDCの調査では、米企業では四半期に1度の割合でCISOやセキュリティ担当責任者がボードメンバーとコミュニケーションを図っている。

ソフトバンク・テクノロジー
全ての情報は防御できない
「人を責めず、方法を責める」の精神で

ソフトバンク・テクノロジー株式会社
セキュリティ技術本部
シニアセキュリティエバンジェリスト
辻 伸弘 氏

 「セキュリティ対策では、守りたいものを明確にしておく必要があります。あまねく脅威に対応することは不可能です」。ソフトバンク・テクノロジーの辻伸弘氏はこう話す。

 辻氏は、日本年金機構の個人情報流失事件の報告書は示唆に富んでいると話す。日本年金機構、サイバーセキュリティ戦略本部、日本年金機構を管轄する厚生労働大臣が立ち上げた第三者検証委員会が個別に報告書を公表した。報告書には、攻撃は単発では終わらず執拗に繰り返されていたこと、情報保存ルールが日本年金機構内にあっても順守されていなかったことなど数々の問題点が挙げられている。

 「標的型メールを開封した社員を責めるのではなく、インシデントが発生したら会社の運用の方法に問題があると考え、改善していくべきです」(辻氏)。辻氏は大手ガス器具メーカーの工場に貼られていた標語を紹介した。「人を責めず、方法を責める」。これがセキュリティ対策の真髄だという。