• ラックホーム >
  • 「マイナンバー」保護のためのセキュリティ対策について

「マイナンバー」保護のためのセキュリティ対策について

マイナンバーとは

2015年10月より国民に対してマイナンバーが交付され、2016年1月には、社会保障や税、災害対策の行政手続におけるマイナンバーの利用がスタートします。これに備え、公共団体や企業では、社会保障や税などの手続に必要となる社員や職員、またその家族のマイナンバー情報の収集、管理が始まります。そして、2017年7月からは機関別符号を利用した自治体間の情報連携が開始される予定になっています。

マイナンバーには、利用、提供、収集の制限など、特定個人情報の適切な取り扱いが求められており、制度に対応する体制構築やシステム改修、マイナンバーを取り扱う運用ルール決め、情報漏えいリスクなどのセキュリティ対策が必須です。マイナンバーの交付主体は自治体であり、マイナンバーデータベースに保存された特定個人情報や符号の保護は、自治体の義務となっています。そして、将来予定されている自治体間の情報連携においては、高度技術を用いたネットワーク接続が必要となります。
そして、マイナンバー法により、自治体に対する罰則が強化され、情報の安全管理が厳しく求められています。

マイナンバーを保護するセキュリティ対策

マイナンバーは、社会保障、税、災害対策の分野における国民の重要な情報を結びつけ、年金・医療・福祉といったサービスの利便性を高めるために考案されました。このように重要な情報であることから、サイバー攻撃を行う犯罪者や、情報を窃取する内部犯行者の標的になる可能性があります。そこで、「標的型攻撃 対策指南書」に取り上げたような情報セキュリティ対策の根本的な対策に加え、マイナンバーが保存されたデータベースへのアクセス制御と、アクセス監視を実装し、もちろん運用ルールの徹底と監査、職員教育などを行うことが望まれます。

しかしながら、マイナンバーの交付が目前となり(本ページの執筆は2015年8月)、2016年1月の運用開始も迫っている現在にあって、このページを必要に迫られて閲覧される方は、マイナンバー保護のための取り組みを行う予算も、運用ルールも、人員体制も厳しい状況なのではないかと考えられます。
もしこのような状況であれば、マイナンバー法が求める最低限のセキュリティ対策(特定個人情報の適正な取り扱いに関するガイドライン)を取り入れてゆくことが必要となります。

アクセス制御

情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。

・フォルダやファイルといったリソースへのアクセス権の設定
・特権IDの管理
・システムへアクセスできる端末の制限
・物理的な入退室管理

アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

・ディレクトリサービスなどの活用したユーザー認証
・生体認証を含む二要素認証による確実なユーザー特定
・アクセスログの取得と監査

外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。

・ネットワーク経路(FireEyeなど)やクライアントのウイルス対策を徹底
・ファイアウォールやWAFなどを活用した外部脅威への対応
・IDSやIPSを活用した、攻撃の検知と対策
・プロキシサーバを経由した遠隔操作サーバーとの接続の発見
・データベースへのアクセスを分析(Imperva SecureSphere Database Securityなど)

情報漏えい等の防止

特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。

・ファイルや伝送データの暗号化による保護
・プロキシサーバを経由したデータ送信の発見
・USBやBluetoothといった外部デバイスの制御
・プリンターなど、紙媒体への記録の制御
・不正なアクセスの発見と追跡のためのログ分析

これらの取り組みは、当社を含むセキュリティ製品・サービス事業者の支援を得ることで可能となります。

より実践的なセキュリティ対策

当社は、これらセキュリティシステムの構築に加え、より実践的なマイナンバー保護対策を必要とすると考えています。以下の対策は、当社が提供する「標的型攻撃対策ツールキット」に含まれています。

標的型攻撃対策ツールキット

緊急時の対応プロセスの整備や、教育、訓練、そしてセキュリティ事故を発見する取り組みを、低価格に実装することが望ましいと考えています。

理解と教育

  1. 標的型攻撃緊急対応マニュアルの整備
  2. 基礎教育を実施

演習や訓練

  1. 基礎訓練を実施
  2. 自己点検(遠隔操作ウイルス感染などのチェック)に関する訓練の実施

監督・監査

重要情報取り扱いチェックシートによる「割れ窓」チェックの実施

気づく・見つける

  1. 攻撃被害発生確認(プロキシサーバーログの確認)の定期実施
  2. 自己点検(遠隔操作ウイルス感染などのチェック)の実施
  3. 簡易版セキュリティ監視の実装

防御・予防

  1. ネットワーク分離の確認
  2. 重要情報取り扱いルールの策定

LACメールマガジンのイメージ写真

ラックメールマガジン

情報セキュリティに関する情報をE-Mailにて、タイムリーに月2~3回の頻度でお届けします。

セキュリティ情報のイメージ写真

セキュリティ情報

ラックの中の人がセキュリティにまつわるさまざまな情報をつぶやきます。

緊急対応窓口:サイバー救急センター(R) 0120-362-119

サービスに関するお問い合わせ
受付時間:9:00~17:30

03-6757-0113

ラックホーム

ページトップへ