企業が行うべきマイナンバーに関するセキュリティ対策とは(3)

IT・IT製品TOP > Key Conductors > 浜 義晃(株式会社イーセクター) > 企業が行うべきマイナンバーに関するセキュリティ対策とは(3)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

企業が行うべきマイナンバーに関するセキュリティ対策とは(3)

エンドポイントセキュリティ 2015/07/14

皆さん、こんにちは。イーセクターの浜です。
「企業が行うべきマイナンバーに関するセキュリティ対策」について、全3回でまとめていきたいと思います。

第3回(最終回)の今回はマイナンバー法のセキュリティ対策の大きなポイントとなる技術的安全管理措置への対応策について話を進めていきます。

マイナンバーのセキュリティ対策としてすべきことは

1.技術的安全管理措置について

技術的安全管理措置への対応として必要なセキュリティ対策について、話をさせていただくため、まずは技術的安全管理措置としてガイドラインに記載されていることを以下に記載します。

A.アクセス制御
 
→情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、
  事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、
  適切なアクセス制御を行う。

B.アクセス者の識別と認証
 →特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、
  識別した結果に基づき認証する。

C.外部からの不正アクセス等の防止

 →情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。

D.情報漏えい等の防止
 →特定個人情報等をインターネット等により外部に送信する場合、
  通信経路における情報漏えい等を防止するための措置を講ずる。

上記4つの項目が挙げられており、各項目で手法の例示が挙げられています。
例示に挙げれられているセキュリティ対策は「必ずやらなければならない」ものではないものの、情報漏えい事件などが発生してしまった場合、どこまでセキュリティ対策を行っていたかを問われることになるため、無視も出来ません。

具体的にどのような対策をすれば良いのか、企業側に判断を委ねられている箇所が多いため、情報システム部門などからは「どのような対策をどこまでしなければいけないのかわからない。」といった質問をいただきます。

このようなご質問をいただいた際には、「どこまでしなければならないかはお客様環境等によってかわりますが、最低限何をしなければならないかはある程度決まっています。」という回答をさせていただいております。

2.実施すべきセキュリティ対策

では、最低限しなければならない対策とは何なのか、それはマイナンバーという情報を「要塞化」し、「見張る」事です。

「要塞化する」というのは、マイナンバーという宝物を守るため、宝箱には鍵(アクセス制御、暗号化)をかけ、その宝箱を城の中にしまい、その城門には決められた人しか入れないように門番(認証、ID管理)をたてます。

さらに、万が一不審者が城内に進入しても捕まえられるように警備員(ウイルス対策)を配置し、何らかの理由で宝物を外に持ち出すときは秘密のルート(セキュアファイル転送)で持ち出します。

「見張る」というのは、日々の業務の記録(動画記録、ログ取得)です。
この記録は、日々の運用が規程通り行われているかの確認と、不正利用の抑止です。

【要塞化】
・アクセス制御
・認証
・ウイルス対策(サンドボックス機能有)
 →通常のパターンマッチング方式のウイルス対策にプラスで、サンドボックス機能を有するものを推奨します。

・暗号化
・ID管理
 →マイナンバーにアクセスできるユーザIDを貸し出し制にすることで、
  担当者が独断でマイナンバーにアクセスできないようにすることを推奨します。

・セキュアファイル転送
 →通信暗号化はもちろんのこと、データ自体も暗号化して送付することを推奨します。

【見張る】
・動画記録
・各種アクセスログの取得

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

この、「要塞化する」、「見張る」という観点からセキュリティ対策を実施する事で、技術的安全管理措置にある4項目についてはある程度網羅しております。

ただ、セキュリティ対策としては、外部との通信制御や不正アクセス検知、通知等、不足している部分は多々あるかと思いますが、企業規模や保有する情報量などによって実施しなければならないセキュリティ対策の内容は変化しますので、最低限すべき対策ということで、これらのセキュリティ対策を推奨させていただいています。
※もちろんマイナンバーの保管方法によっては、「要塞化する」、「見張る」の具体的な
 対策の中でも不要なものがあることもあるとは思います。

なお、これらの対策はパッケージソフトの導入とOS標準機能で対応することが出来ますので、比較的安価に対応が可能だと思います。企業が最低限実施すべきセキュリティ対策として、「要塞化する」、「見張る」という観点から今回私が提案させていただいた内容をご検討頂ければと思います。

以上、全3回にわたり、「企業が行うべきマイナンバーに関するセキュリティ対策とは」というタイトルで話をさせていただきました。
なるべく多くの皆様に伝わるように本記事を作成させていただきましたが、伝わりにくい個所も多々あったかと思います。
それでも最後までお付き合いいただき、ありがとうございました。

また、7月15日(水)弊社主催の「マイナンバーソリューション展示会/説明会」を実施しますので、もしよろしければご参加ください。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008062


IT・IT製品TOP > Key Conductors > 浜 義晃(株式会社イーセクター) > 企業が行うべきマイナンバーに関するセキュリティ対策とは(3)

このページの先頭へ

キーマンズネットとは
2006年に現在の会社(株式会社イーセクター)に入社し、様々なセキュリティ対策パッケージソフトの営業、エンジニア、プリセールスエンジニアとして従事。現在は、マイナンバーのセキュリティ対策についての啓蒙活動を行っている。

ページトップへ