写真1●内閣官房が開設するマイナンバー制度の告知Webサイト
[画像のクリックで拡大表示]
マイナンバー制度(行政手続番号法)の施行期日は2015年10月5日に決まった(関連記事)。政府によるマイナンバーに関する広報活動が本格化しつつあるが(写真1)、実質的に利用が始まる2016年1月を見越し、IT業界でも関連ビジネスが立ち上がりつつある。
その一つがセキュリティ分野だ。政府(地方行政を所管する総務省)は、自治体が整備すべき情報システムに関するガイドラインを示している。この中で、マイナンバーの「中間サーバー(自治体が他団体との間で符号を用いて情報連携するためのもの)」に接続する端末を置くネットワークセグメント(基幹系セグメント)については、特に厳格なセキュリティ措置を講じるように求めている。中間サーバーを狙ったサイバー攻撃の入り口になる可能性があるからだ。
具体的な要件としては、ファイアウォールや不正アクセス監視システムの設置、ウイルス対策ソフトの導入やアクセス制御など、一般的なセキュリティ対策が多い。目新しいのは「サンドボックス装置」に言及していることだ。
サンドボックスで未知のウイルスを検出
自治体はサイバー攻撃者から、通常のファイアウォール・ウイルス対策ソフトをすり抜けるように細工が施されたマルウエア付きのファイルを送り込まれる可能性がある。政府は自治体に対し、サンドボックス(不審なファイルを検査するための隔離された仮想マシン)を使って、こうした未知のマルウエアを検出することを求めている。
未知のマルウエアの多くは、実行してみなければ有害かどうかが分からない。そこで政府は、マルウエアを含むかもしれない不審なファイルをサンドボックス装置で解析し、庁内システムに入り込まないようにすることを推奨している。
