漏えいが起こることを前提にした暗号化対策の本当のポイントとはマイナンバー対策は「予防策」だけじゃない

マイナンバー制度の本格開始に伴い、企業には、今まで以上に適切な個人情報の安全管理措置が求められることになる。必要な安全管理措置というと、不正アクセスを防ぐ「予防策」に目が行きがちだが、それだけでは十分ではない。万一漏えいが発生した際に備えた暗号化を、適切な鍵管理の下で実行することが重要だ。

» 2015年04月15日 10時00分 公開
[@IT/PR]
PR

マイナンバー制度の本格開始で、企業に求められる安全管理措置

 個人情報保護法対応やプライバシーマーク制度、あるいは業界ごとの規制によって、企業には、個人情報を適切に扱い、漏えいを防ぐ措置を講じることが求められている。2015年秋からは、それにまた1つ、個人情報をきちんと扱う後押し要因が加わることになる。「マイナンバー制度」の本格開始だ。

 既にさまざまなところで報じられているためご存じの方も多いと思うが、マイナンバーとは、税や社会保障、災害時の対応を円滑に進めることを目的に、国民1人1人に割り振られる一意の番号のことだ。「税や社会保障」といった適用分野を聞くと、「普通の企業には関係のないことかもしれない」と思う人もいるかもしれないが、さにあらず。税金や社会保障は、民間企業の給与や福利厚生制度と密接に関わる分野であり、従業員数にかかわらず、全ての企業が、マイナンバーを含む個人情報(=「特定個人情報」と呼ぶ)を扱うことになる。

日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 亀田治伸氏

 「しかも、マイナンバー制度では、これまで以上の安全管理措置が求められる。漏えいなどが発生した際には、個人情報保護法よりも重たい複数の刑事罰が設定されている。このため多くの企業が頭を悩ませている」と、日本セーフネットのCDP事業部 サービスプロバイダ営業部 部長 亀田治伸氏は指摘し、制度開始に向け、アウトソースサービスやクラウドサービスも広がるのではないかと予想する。

「予防策」に目が行きがちな中、本当に重要なのは漏えいを前提とした暗号化

 マイナンバー制度の開始に向け、政府では、その取り扱いに関するガイドラインを公開した。このガイドラインの中では、組織として定めた基本方針の下、組織的、人的、物理的、技術的な安全管理措置を講ずるよう求めている。このうち技術的安全管理措置では、「アクセス制御」や「アクセス者の識別と認証」「外部からの不正アクセスなどの防止」といった項目が挙げられている。

 これらはいずれも、従来からセキュリティ対策の基本とされてきた事柄であり、実施するのが当たり前といっても過言ではない。ただ、「こうした対策はあくまで『予防策』であり、昨年発生した大規模情報漏えい事件を見ても、『いつか漏えいは起こるもの』と考えるべきだ。もし漏えいが発生したときに備え、それ以上悪用される危険を防ぐ手法が暗号化だ」(亀田氏)。

 たとえマイナンバーを含む個人情報が漏えいしたとしても、暗号化を施していれば、ユーザーに対して「悪用の危険はなく、安全である」と説明することは可能だ。亀田氏は、予防型対策を実施することを大前提としつつ、このような事故前提型の対策を視野に入れておくことが重要だと強調した。

暗号化処理の落とし穴、「不適切な鍵管理」を防ぐHSM

 ただ、一口に「データを暗号化する」といっても留意すべき点がある。「AESやRSAなど、今広く使われている暗号アルゴリズムは、基本的に公開されているもの。暗号技術を実装するためのフリーのライブラリも公開されており、誰でも使うことができる」と亀田氏は説明する。

 しかし、暗号処理というのは最終的には、『鍵』のあるところ一カ所に集まる。そこでもし鍵を入手できる状態になっていれば、理論的には誰でも、暗号化されたデータを解読できてしまうことになる。「アルゴリズムもライブラリもフリーで使えるため、暗号鍵の管理が重要になってくる」(亀田氏)というわけだ。

 では、どのようにすれば暗号鍵を安全に保管し、管理できるのだろうか。「HDD内にソフトウェア的に保存していては、コピーされ、入手されてしまう恐れがある」と亀田氏は指摘し、「ハードウェアセキュリティモジュール」(HSM)による鍵管理ソリューションを提案した。

 HSMとは、暗号鍵の管理と暗号化処理に特化した専用アプライアンスの総称だ。外部からの物理的な侵入に備えた耐タンパー性など、通常のアプライアンスにはない機能を備え、暗号鍵の生成から運用、更新に至るまで、鍵のライフサイクル全般をサポートする。総務省が公表した、電子政府に関するセキュリティポリシイーの中でも、「鍵管理はハードウェアを用いること」と明記されている。

図1 暗号処理においては、暗号鍵を分離し適切に管理することが重要になる

 日本セーフネットもこうしたHSM製品として「KeySecure」シリーズを提供している。もともとセーフネットは、認証と暗号化に特化したセキュリティ企業で、これまで、政府系認証システム(GPKI)を形作る基盤に向け、暗号ソリューションを提供してきた。KeySecureシリーズは、そうして培われた技術をベースにした製品で、FIPS140-2 Level3の認証を取得しており、安全な暗号鍵運用を支援する。

行き先隅々でデータを暗号化するセーフネットのソリューション

 セーフネットでは、このKeySecureを中心に、マイナンバーを含むさまざまな機密データが行き交い、保管される場所を暗号化によって保護するソリューション群を展開している。

 その1つが、データベースセキュリティを実現する「ProtectDB 」だ。KeyProtectと連携し、Oracle DatabaseやMicrosoft SQL Serverといったデータベースのデータを、アプリケーションに透過的な形で暗号化する。従って、「ユーザーがそれと意識しなくても、バックグラウンドで暗号化処理できることが特徴」(亀田氏)だ。この際、暗号化に関するポリシーやユーザーの権限管理、職務分掌機能も設定できるようになっている。

 さらに、一段上のセキュリティを提供する手法が、トークン化を行う「Tokenization Manager」だ。機密データは暗号化して保管しつつ、そのデータに対して、元データの桁数や属性を保持したトークンを発行し、データベースにはそのトークン化されたデータを格納する手法で、マイナンバーと並行して進んでいる改正個人情報保護法で、暗号化と並ぶ推奨手法に追加されている。亀田氏によると、実装に際していくつかシステム構成に手を加える必要はあるが、「それさえできてしまえばあとは楽に導入できる」という。

 また「Ethernet Encryptor」では、複数のデータセンターを結ぶ広域イーサネット回線を、レイヤ2で暗号化する。IPSecに比べてパフォーマンスが高いことが特徴で、金融機関などで採用されている。またストレージをボリューム単位で暗号化できる「StorageSecure」は、放送局など、大容量のデータアーカイブを扱う業種での採用例があるという。さらに、クラウド上の仮想OSを暗号化する「ProtectV」は、正当な認証を受けたユーザーのみが仮想OSを起動できるようにするものだ。亀田氏によると、Amazon Web Services上のシステムにProtectVを組み合わせ、鍵管理のみをオンプレミスのアプライアンスで運用しきちんと監視する、といった形でPCI DSS認証を取得したケースもあるという。

 ユニークなところでは、USB認証トークン「eToken」を組み合わせ、USB内のICチップで鍵を暗号化し、データを安全に持ち運べるように支援するソリューションも提供する。同社では、会計士や税理士といった、規模の小さな事業者や個人事業者が、アプライアンスなどを用意しなくても手軽に利用できる手段として提供している。

図2 「KeySecure」による一元的な鍵管理を中核に、データベースやストレージなど、システムを構成する各要素を暗号化で保護

 セーフネットではこうした多様なソリューションを提供し、ニーズや環境に合わせて暗号化を実装できるよう支援している。「『暗号化って難しそうだ』という印象を持っていた方も多いかもしれないが、こうしたソリューションを通じて暗号化を当たり前のものにしていきたい」(亀田氏)。

慌てず、今できる対策を確実に

 ただでさえ、マイナンバー制度の実行スケジュールは「年度」単位で予算を組む企業のスケジュールと微妙にずれており、このため対策しようにも予算取りが間に合わない、という企業が少なからず発生する恐れがある。だがだからといって、あきらめて何ら対策を打たないというのは、企業の社会的責任を考えてもあり得ない。

 亀田氏は、「よく『何から手をつければいいか分からない』という声をよく聞くが、今できること、やりたいことの折り合いをつけながら進めてくことが大事だ。特に中小企業においては、個人情報保護法対応に見落としがないかの再点検が現状で行える最善策になる。」とアドバイスする。その中でも、万一の事件、事故への備えとして、やはり暗号化に着目すべきだという。

 日本セーフネットでは、暗号化を構成するソリューションを個別に提供するだけでなく、アウトソースサービスを提供するサービス事業者と組んで、より使いやすく、手に届きやすい形で提供する仕組みも整えていくという。限られた時間と予算の中でマイナンバー制度対応を考える企業にとって、強力な味方と言えるだろう。

この記事に関連するホワイトペーパー

本格運用目前、マイナンバーの安全な管理に欠かせない暗号化と鍵管理をどうする?

2016年から本格運用されるマイナンバー制度。取得したマイナンバーの安全な管理のために、データ保管サービス事業者などの利用が進むことが考えられる。ここでは事業者側が取るべき漏えい対策として、データの適切な暗号化と鍵管理を解説する。

※ダウンロードにはTechTargetジャパンへの会員登録が必要です


Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本セーフネット株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年5月14日

この記事に関連するホワイトペーパー

2016年から本格運用されるマイナンバー制度。取得したマイナンバーの安全な管理のために、データ保管サービス事業者などの利用が進むことが考えられる。ここでは事業者側が取るべき漏えい対策として、データの適切な暗号化と鍵管理を解説する。

関連特集

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。