本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。
今回は、物理面と技術面からマイナンバーの安全管理措置を考えていきましょう。
情報漏えいのリスクをいかに低くするか
まず、物理面としては、マイナンバーを扱うエリア(区画)の限定、PCなどの機器の盗難防止、USBなどでの情報の持ち出し管理、廃棄の管理が該当します。
特に、取り扱いエリアに立ち入る者を管理台帳や監視カメラなどを用いて、「誰が」「いつ」マイナンバーに触れたかを可視化することが重要です。可視化の手法は、例えばマイナンバーを扱う部屋に出入りした人が管理台帳に記入するというやり方や、指静脈認証や電子キーなどでの入室制限、監視カメラでの映像監視、などさまざまな方法があります。
技術面は、情報システムを利用してマイナンバーを管理する場合の措置として、システムへのアクセス制御と認証(誰がいつシステムにアクセスし何をしたか)、外部からの不正アクセス防止、外部への情報送信時の漏洩防止が該当します。
特に、マイナンバーを取り扱うPCやネットワークが、現状どのようなセキュリティ対策になっているか把握することが重要です。現在導入しているセキュリティ対策を洗い出し、不足がないか、きちんと運用できているかを整理します。例えば、PCやサーバー、ネットワーク機器などのOSのセキュリティパッチ、PCのセキュリティソフトウエアやUTM(統合脅威管理)装置のウイルス対策機能などのパターンファイルなどは、常に最新のものを適用するという運用体制になっていなければなりません。
また、マイナンバーを盗み出そうとする攻撃を防御する仕組みが導入されているかを確認してみてください。未導入の場合は、導入を検討する必要があります。例えば従来のUTM装置やファイアウオールのなかには、標的型攻撃を検知できないものがあります。このような場合は、ソフトウエアの動作を見て攻撃を見つけ出す「振る舞い検知」と呼ばれるツールの導入や、振る舞い検知が可能な「サンドボックス」と呼ばれる装置のネットワーク上への設置、企業ネットワークへの不正侵入を検知できるIPS/IDS(侵入防止システム/侵入検知システム)の導入といった対策を実施します。マイナンバーを狙う手口としては、標的型攻撃が主に使われるようになっていくと思いますので、本連載の第3回「標的型攻撃対策を理解し実践する」を参考にしてください。