2015年10月、マイナンバー制度(社会保障・税番号制度)が始動する。企業がマイナンバー制度に対応するには、政府発表のガイドラインが重要な指標。そこで、クオリティソフトはIT資産管理ツール「QND」と情報漏えい対策ソリューション「QGG」で、ガイドラインに沿ったマイナンバー制度への対応を提案している。山崎誠司・カスタマーコミュニケーション本部セールスプロモーション部部長に、QNDとQGGの組み合わせによるメリットを聞いた。
マイナンバー制度に向けた五つの事前準備ステップ
山崎誠司
カスタマー
コミュニケーション本部
セールスプロモーション部
部長 2015年10月から開始されるマイナンバー制度は、すべての個人と法人に固有の番号を割り当て、年金や保険など各機関の情報を横断的に連動させる仕組みだ。まず2015年10月に個人番号(マイナンバー)が通知され、16年1月にマイナンバーの利用が開始となる。
今年秋には番号が割り当てられるため、企業にとってマイナンバー制度への対応が急務となっている。社員のマイナンバーは特定個人情報であり、厳重な保護措置が義務付けられているためだ。万が一、漏えいした際の罰則は、個人情報保護法に比べても格段に厳しい。社員の多い大企業だけではなく、パートやアルバイトなどの入れ替わりが激しい中小企業にとっても、マイナンバー制度への対応は重要だといえる。
政府はマイナンバー制度の開始に先立ち、特定個人情報を取り扱ううえで企業に求められる対応を、「特定個人情報の適正な取り扱いに関するガイドライン(事業者編)」として2014年12月に公開した。企業は、このガイドラインに沿った形で、マイナンバー制度に向けた対応を進めていかなければならない。
クオリティソフトの山崎部長は、企業に求められる事前準備には五つのステップがあると指摘する。具体的には、「個人情報を取り扱う事務の範囲の決定」「特定個人情報の範囲の決定」「特定個人情報を取り扱う担当者の明確化」「特定個人情報などの安全管理措置に関する基本方針の策定」「取扱規程などの策定」というステップだ。
「事前準備のほとんどが、システムの導入ではなく、人が決めることで実現できる。最後の二つのステップは、特定個人情報の安全管理措置についての対策だ。順守しなければならない内容と具体的な対策はガイドラインに定められているので、特定個人情報のライフサイクルを踏まえたうえで、取得、利用、保存、提供、削除・破棄と適切に管理していく必要がある」と、山崎部長は説明する。
特定個人情報を安全に管理 「QND」と「QGG」で実現
ガイドラインでは、特定個人情報を保管するサーバーやキャビネットを「管理区域」、管理区域にアクセスして特定個人情報を取り扱う区域を「取扱区域」と呼んでいる。
管理区域には、専用の部屋を用意したり、鍵を付けたり、入退出管理をしたりすることが推奨されていて、取扱区域も壁や間仕切りなどの物理的な対策を講じるように指示されている。取扱区域から管理区域にアクセスする際は、従来のIDとパスワードによる認証やActive Directory認証だけではなく、磁気・ICカードやワンタイムパスワードなどを利用し、二要素認証を採用する必要がある。さらに、特定個人情報を取り扱う際は、いつ、誰が、どんな操作を行ったか、しっかりログを取っておくことが重要だ。ガイドラインによると、ファイルの種類や利用の目的も記録して取扱区域の外に特定個人情報を持ち出す場合、データの暗号化やパスワードによる保護が求められる。
山崎部長によれば、ガイドラインが推奨する特定個人情報の安全管理策は「管理/取扱区域の設置」「アクセス制御」「取り扱い履歴と持ち出し管理」「保管期限と破棄」「不正アクセス/情報漏えい対策」の五つになるという。「当社は、IT資産管理ツールのQNDと、機密情報/個人情報ファイル管理・漏えい対策ソリューションのQGGを組み合わせることで、『管理/取扱区域の設置』『取り扱い履歴と持ち出し管理』『不正アクセス/情報漏えい対策』の三つの対策を実現する」と説明する。
ファイルの自動探査で特定個人情報の取り扱いを制御
機密情報/個人情報ファイル管理・漏えい対策ソリューションのQGGは、守るべき特定個人情報がクライアントPC内に存在しているかどうかを自動的に探査する。特定個人情報がみつかれば、QGGが管理するファイルサーバーの領域に情報を暗号化して移動・保存する。クライアントPCに残るのはショートカットのみで、特定個人情報の管理区域と取扱区域とを完全に分離させることができる。
さらに、印刷、コピー、メール添付、ネットワーク利用といったファイルの利用を制限する機能があり、利用したファイルのログを収集したり、データの持ち出しの際には、書き出し申請、書き出し許可というワークフローを提供する。仮に書き出し許可を得たファイルであっても、指定されたUSBメモリにしか書き出せないといったクライアント制御をかけることも可能だ。山崎部長は、「これまでのセキュリティ対策は、社内にどんなデータがあるのかをしっかりと把握できていないところに課題があった。守るべき対象がわかっていれば、セキュリティの対策は打ちやすい。QGGは操作ログから特定個人情報を含むファイルの利用状況を監視することができる」と強調する。
QGGは、社内の特定個人情報を発見し、物理的な制約をかけることもできれば、取り扱いのログ収集や持ち出し管理もでき、マイナンバーをしっかり守る仕組みをつくることが可能だ。QNDは、インベントリ収集やファイル配布といったIT資産管理の基本機能を提供する。「ウイルスはOSやアプリケーションの汎用的なぜい弱性を突く。既知のぜい弱性を対処すれば、セキュリティリスクを回避できる」と、山崎部長は説明する。
さらにQNDは、クラウド型のURLフィルタリング機能「URL Filtering powered by InterSafe」を使い、マルウェアに感染しているとカテゴライズされたサイトへのアクセスを遮断することもできる。近年の標的型攻撃の多くは、クライアントPCに侵入したマルウェアがC&Cサーバーといわれる外部サーバーに対してセッションを張り続け、情報を持ち出すという手口をとっている。QNDはURLフィルタリング機能で外部サーバーへの不審な通信を遮断することで、ウイルス対策ソフトでは検知できない標的型攻撃に対処する。
山崎部長は、「どんな対策を打っていても、本当に問題がなかったかを証明するためにはログを収集して分析するしかない。QNDのクライアント操作ログ取得ツール『QND ClientLog』はさまざまな操作ログを監査し、不審な動きがあった時にアラートを出して警告することもできる」としている。
最新の脅威トレンドに対処 特定個人情報の保護を実現
ファイアウォールによる入口対策、ウイルス対策ソフトやセキュリティアップデートなどの内部対策に加えて、最新のセキュリティの脅威に対処するには、QNDによる出口対策が不可欠だと山崎部長は指摘。「以前からあるIT資産管理ツールの機能と、情報漏えい対策に対応したソリューションを組み合わせた二段構えで、最新の脅威トレンドに対処しながら、内閣府のガイドラインに沿ったかたちで社内にある特定個人情報を保護することが可能だ」という。
マイナンバー制度の開始は、企業がセキュリティ対策のあり方を改めて見直すきっかけになるだろう。マイナンバー制度への対応は、どんな企業にも必要になる。守るべき特定個人情報をチェックするQGGとセキュリティの出口対策を実現するQNDの組み合わせは、マイナンバー制度に対応しながら、最新の脅威トレンドへの対処を実現したい企業にとって大きなメリットとなるだろう。
