人事・給与システムの改修だけで大丈夫？ マイナンバーの安全を守る最適解とは

2016年1月のマイナンバー制度開始まで半年を切り、企業では対応が急がれる。その作業では業務システムの改修だけではなく、12桁のマイナンバーの保護が肝心だ。残り少ない期間でマイナンバーの安全を確保するための方法を紹介しよう。

[PR／ITmedia]

PR

　2016年1月に始まる「マイナンバー制度」に向けて全国の企業がその対応に追われている。中でも「特定個人情報」に指定された12桁のマイナンバーのセキュリティ対策は、昨今多発する個人情報の漏えい事故の状況を鑑みても極めて重要なポイントだ。大企業ほど潤沢なリソースを持てない中規模企業は、業務面での膨大な対応作業を進めながら、ガイドラインで定義されたマイナンバーを適正に取り扱うための安全管理措置も講じなければならず、制度開始までのわずかな期間で対応していくのは難しいだろう。そこで注目したいのが、NECの提供する「マイナンバー安心セット」を利用したマイナンバーのセキュリティ対策である。

マイナンバー対応で急ぐべきセキュリティ対策

　マイナンバーは、社会保障、税、災害対策の分野での利用に加え、将来は様々な民間分野での活用も検討されている。万一悪用されれば影響範囲は極めて広い。このため2013年5月31日に公布された「行政手続における特定の個人を識別するための番号の利用等に関する法律」（マイナンバー法）ではマイナンバーを取り扱う全ての企業に対して、「個人番号関係事務実施者」としての管理義務を課しており、万一管理義務を怠れば、懲役・罰金を含む罪に問われかねない。

　同様の制度を先行実施する米国や韓国などではマイナンバーを不正取得した第三者が銀行口座を開設したり、クレジットカードを不正に発行・利用したりする悪質な犯罪が起きている。国内でも「標的型攻撃」による大規模な個人情報流出事故が起きており、社会からの信用が失墜しただけでなく、その対処に関わる事務処理やセキュリティ強化のために膨大なコストが生じている状況が報道されている。

　マイナンバー法ではログ監視やアクセス制御といったシステム面で不正アクセスや情報漏えいを防ぐことも企業に求めており、対策が不十分と見なされた企業には罰則が科されるかもしれない。制度開始後に流出させてしまった場合、今まで以上に管理責任を厳しく問われることになり、当然ながら、社会的な信用の失墜による企業価値の毀損（きそん）も免れない。

安全管理措置の実施を3つのソリューションで支援

　企業向けの対応支援の一環として、政府は2014年末から様々なガイドラインを公表している。ただその中身を見ると、取り組むべき内容が極めて広範かつ具体策までは明示されていない。企業としては制度開始までに対応を終えたいところだが、いまだ「どこから着手すべきか分からない」との声も根強くある。

NEC パートナーズプラットフォーム事業部 マネージャー 高橋輝圭氏

　マイナンバー対応ではどのように取り組むべきなのか。NEC パートナーズプラットフォーム事業部 マネージャーの高橋輝圭氏は、次のようにアドバイスする。

　「何より最優先すべきは、厳格なマイナンバーの安全管理体制の確立です。マイナンバーを扱う人事・給与システムを中心に、ガイドラインの求める安全管理措置の組織・物理・技術の3項目に準じてセキュリティ対策を見直しながら、必要な対策を追加してセキュリティレベルを底上げしていくことが基本的なアプローチとなります」

マイナンバー対応におけるNECの「セキュリティ対策ソリューション」（2015年8月現在）

　そこでNECは、ガイドラインで求められる安全管理措置に必要なセキュリティ対策として、課題別に適切な対策が行える「セキュリティ対策ソリューション」を提供している。中でも内部漏えい防止を主眼とし、既存の人事・給与システムに追加導入するだけでセキュリティを強化できる「マイナンバー安心セット」が注目されている。これは、PCにログオンできる人を限定し、なりすましを防止する「顔認証ログオンセット」、データベースを監視し、不正アクセスを追跡できる「アクセスログ監視セット」、ハードディスクを暗号化し格納データの漏えいを防止する「データ暗号化セット」から構成されている。

3つのセットでマイナンバーの安全を確保する「マイナンバー安心セット」

　「具体的な対策は企業ごとに異なるかもしれませんが、もはや方法を一から検討する時間的な余裕は残されていません。マイナンバー対策として人事・給与システムへの対応については着手している企業も多いと思いますが、セキュリティについては、ウイルス対策など通常の対応にとどまっているケースや、対策はしたいが具体的な方法について迷う方も多いと思います。そのため、NECの持つセキュリティの知識とノウハウを生かし、人事・給与システムのデータに対して『限られた人以外はアクセスできないようにする』『誰がいつどこにアクセスしたかが簡単にわかる』『万一持ち出されても読めない』と、3重の対策が取れる『マイナンバー安心セット』を発売しました。高い抑止効果も期待できますし、人事・給与システムに追加で導入するだけという簡単なところも魅力ですので、内部漏えい防止への対策として非常にお勧めです。まずはこのようなところから着手してはいかがでしょうか」（高橋氏）

定評ある顔認証技術でなりすましをシャットアウト

　マイナンバーのセキュリティ対策でまず必要なのは、人事・給与システムへの安全なアクセスを確保することだ。これを支援するのが、顔認証システムを搭載したPCをはじめとする「顔認証ログオンセット」である。

　システムや情報を利用する際の認証は、IDとパスワードを使うのが一般的だが、適切に管理されないと、IDやパスワードが悪用され、なりすましによる不正アクセスなどの被害につながる。マイナンバーを保護するにはIDとパスワードだけではない、もう1段階上の認証方法を組み合わせていくことが必要になる。

　「顔認証ログオンセット」ではNECの顔認証ソフトウェア「NeoFace Monitor」によってWindowsにログオンする方式を採用。PCに外付けもしく内蔵されたカメラで撮影したユーザーの顔画像を解析して認証する。NECの顔認証技術の精度は世界最高水準^※を誇るだけに、この技術を生かした認証方法でなりすましのリスクを抜本的に低減させることができるだろう。

※「NEC、米国国立標準技術研究所(NIST)の顔認証技術 ベンチマークテストで3回連続の第1位評価を獲得」

NEC パートナーズプラットフォーム事業部 シニアエキスパート 宮原文之氏

　NEC パートナーズプラットフォーム事業部 シニアエキスパートの宮原文之氏は、「顔認証を活用すれば、ユーザーはPCの前に座るだけで瞬時にログオンできるため、業務効率を下げることなく安全性を高められます。NECの顔認証は、認証時だけでなく常時監視している点が大きなポイントです。例えば、認証後に一時的に離席した際、他の人が操作しようとしても認証されません。また、ログオンに失敗した場合は、そのときの顔画像を保存しますので、不正抑止の心理効果も期待できます」と、そのメリットを説明する。

世界最高水準の顔認証で業務に負荷をかけずに安全なログオンを実現する

　実際に顔認証を試してみると、登録されたユーザーがPCの前へ着座した瞬間にログオン処理が完了してしまうほどで、まさに“あっという間”としか例えようがないほどだ。一方で登録されていないユーザーが着座してもログオン画面に変化はなく、しばらく経つと認証エラーのメッセージが表示されるだけだ。顔認証の仕組みをユーザーに意識させることはないながら、ほぼ正確にユーザーを認証してくれる。

　「顔認証ログオンセット」には、USBメモリなど未許可デバイスへのアクセス禁止やメールへのファイル添付を禁止するデータ漏えい防止ソフトウェア「DeviceLock DLP Suite」、PCの物理的な盗難を防ぐ「セキュリティワイヤー」、覗き見を防止する「のぞき見防止フィルター」もセットになっており、なりすまし防止だけでない、きめ細かなセキュリティリスクへの対応がなされている。

不審なアクセスやデータの悪用を防げ！

　「アクセスログ監視セット」や「データ暗号化セット」は、人事・給与システムのデータの安全な管理を実現するものだ。「アクセスログ監視セット」ではデータベース（DB）のアクセス履歴を分かりやすく管理できるようになる。

　DBのアクセスログ監視は、セキュリティ対策の中でも必須となるものだ。不正アクセスなど万一の場合は、過去のログを読み解くことで不審なアクセスが発生した状況を洗い出すことができ、ログを監視していることで内部関係者などによる情報の持ち出しといった不正行為を抑止することにもつながる。

　ただDBのログは極めて難解であり、通常は専門知識を持つ技術者でなければ分析が難しく、人材が不足しがちな中堅・中小企業ではログ監視を十分に行えていないのが実情だ。そのため、「アクセスログ監視セット」ではDBログ管理ソフトウェアの「ALog ConVerter DB」によって、専門知識を持たない管理者でもログの内容が分かるようにログの情報を変換してくれる。設定によってアラートを管理者に通報してくれるため、問題発生時の迅速な対応も可能になる。

専門家でないと難解な生ログから管理者に分かりやすい情報に生成する

　「マイナンバー関連のデータでも、いつ、誰が、どこで、何をしたのかを容易に把握できるようになり、業務時間外のアクセスやデータの抜き出しといった不審な操作を容易に洗い出せるようになります」（高橋氏）

　「アクセスログ監視セット」は一般的な人事・給与システムで広く採用されているOracle DatabaseとMicrosoft SQL Serverの2種類のDBに対応する。専用サーバでDBのログを収集・変換する仕組みであるため、既存の人事・給与システムにはDBのログ出力設定を変更する程度で、導入作業を必要最小限に抑えられる。

　また「データ暗号化セット」は、暗号化対応ストレージ「iStorage M110」を利用して企業が収集するマイナンバーの安全な保管を実現すると同時に、万一の漏えいでも悪用を防ぐ。

　情報漏えい対策においてデータの暗号化は、“最後の砦”ともいえる極めて重要なものだ。前述した大規模な個人情報流出事故でも、問題点の1つにデータが暗号化されていない状態であったことが挙げられている。暗号化されていれば、万一外部に漏えいした時でも、悪用されるリスクを低減できるだろう。

マイナンバーのデータを自動的に暗号化して保護する

　データ暗号化セットで特筆されるのは、データを自動的に暗号化する点だろう。管理者のミスでデータが暗号化されないという事態も回避できる。さらに、米国の国防省が定める方式でデータの完全消去を行うことができるため、将来的にストレージを廃棄したり、他の用途に転用したりする場合でも、格納していたマイナンバーのデータを確実に抹消できる。

　マイナンバーの管理では格納先となるストレージのライフサイクルも考慮しなければない。マイナンバーのセキュリティ対策では人事・給与システム側だけではなく、ストレージにも必要な措置を講じることで管理レベル全体を底上げしていけるだろう。

---

　高橋氏は、「企業のマイナンバー向けセキュリティ対策において、まず必要とされる対応として『マイナンバー安心セット』をご紹介しましたが、必ずしも顔認証ログオン、DBアクセスログ監視、データ暗号化によって全てを網羅できるわけではありません。安心セット以外にもお客様に合わせたソリューションを提供できますので、ぜひ当社にお声掛けいただければと思います。また、セキュリティ対策は一度行えば終わりではありません。マイナンバー制度が開始されてから、新たなセキュリティリスクへの対応が必要になる可能性もあります。当社では将来も安心して活用いただくためにも、今後もマイナンバーに対応するセキュリティソリューションを強化・拡充していきたいと考えています」と話す。

　当然ながら、セキュリティ対策以外にも企業がマイナンバー制度への対応で取り組む作業は実に幅広い。NECでは今回紹介したセキュリティ対策を支援する「マイナンバー安心セット」を含め、マイナンバーの収集・管理を代行する「BPOサービス」や社員がマイナンバーを適切に扱うための「教育サービス」など、マイナンバー対応を包括的に支援するサービスを提供している。マイナンバー制度へ確実に対応する上で、同社のソリューションは大きなサポートになるはずだ。