年金機構、商工会議所 … 相次ぐ個人情報漏洩。マイナンバー制度スタートに向け、今とるべきセキュリティ対策は？

5月、日本年金機構から125万件もの個人情報が流出した。東京商工会議所でも1万件以上の情報が漏洩した可能性があると言われている。原因はどちらも標的型攻撃メールによるPCのウィルス感染だという。手口としては通常のメールを装って受信者にウィルスを実行させ、外部のサーバに情報を送信させる方法(バックドア）だ。こうした事件が報じられる度に、日本人のセキュリティリテラシーの低さが、ますます浮き彫りになってくる。このような状況で、10月からスタートするマイナンバー制度は大丈夫なのだろうか？ 税や社会保険の手続きを行う必要上、日本中の民間企業が、従業員やその扶養家族のナンバーを扱うことになるわけだが、果たしてどれだけの企業が、その安全性について自信を持てているだろう？

今回、セキュリティ専門企業として、ソリューション開発やサービス提供をグローバル展開しているペンタセキュリティシステムズ株式会社（以下、ペンタセキュリティ）を訪ね、これからの日本に必要なセキュリティとは、どんなものなのかを取材した。応じてくれたのは、同社グローバルビジネス本部、日本セキュリティビジネス戦略部門の美濃部 崇氏、陳 貞喜氏。

これからは漏洩した情報が、悪用されない方法を考えるべき

「日本でセキュリティというと、とかくウィルス対策やネットワークセキュリティに注目が集まりがちです。しかしセキュリティを開発する方も、それを破ろうとして攻撃する方も、常に最新の技術を模索しているため、常にイタチごっこの状態にあります」 と、美濃部氏は言う。守る側にとって未知の攻撃技術が現れれば、ネットワークは容易く破られてしまうということだ。

「これからは“データの漏洩をどう防ぐか”に加え、“データの内容をどう守るか”を考えなければなりません。つまりデータの暗号化や、アクセス権限の管理を真剣に検討すべきでしょう。万が一、情報が漏洩してしまったとしても、データがしっかりと暗号化されていれば、その内容は守られる可能性が高くなります。」（美濃部氏） 暗号を解読できない限り、漏れたデータは無意味な文字列にすぎず、個人情報の安全は保たれる。また「ハッキングによって情報は漏洩してしまったが、データは暗号化してあった」という事実があれば、企業・組織の信頼失墜を食い止める保険にもなりえるだろう。

暗号化の技術そのものは新しいものではないし、国内でも様々なソリューションが提供されている。にもかかわらず、なぜ導入が進まないのか。 「DBの暗号化に伴う、アプリケーション開発やシステム変更の経済的・人的負担や、運用時のパフォーマンスの低下などを懸念されて、情報セキュリティの担当者も企業の経営層も、なかなか踏み出せていないのが現状のようです」（美濃部氏）

これまでの懸念を一掃する、データベース暗号化ソリューション

ペンタセキュリティでは、こうした懸念を解消するDBの暗号化プラットフォーム製品を提供している。それが暗号化モジュール「D’Amo（ディアモ）」だ。「D’Amo」を既存のDBにインストール（アドオン）すれば、すぐに暗号化環境を構築することができる。 「インストール自体は難しいものでなく、DBの構造を理解している人であれば、すぐに完了します。D’Amoをインストールすることで、標準的なセキュリティ技術をベースにした暗号化プラットフォームは既に構築されていますので、従来のようにDBセキュリティの専門のエンジニアを雇って、設計・開発から…という手間もコストもかかりません。そもそもDBセキュリティの設計ができるエンジニア自体、そうはいません。実際、多くのDBエンジニアにとっても、これまでの導入、運用・管理スキルに加えて、新たにDBセキュリティの概念を取り入れることができます。」（美濃部氏）

カラム単位での暗号化が可能だということも、大きな特長となっている。 「データを守りたいと対策を検討されているお客様の多くは、『このHDDをセキュアにしたい』『このサーバをセキュアにしたい』と、物理的な媒体単位でセキュリティを考えていらっしゃるようですが、今後は、データそれ自体のセキュリティがより求められて来ます。 なぜなら、データは、記録し安全に保護する必要性と同時に、またデータそのものを活用される時代になっています。これらの相反するニーズを満たすことは、簡単なことではありません。 『D’Amo』なら、マイナンバー、給与情報など、必要な情報が入ったDBのデータを、カラム単位で暗号化できます。最小単位での暗号化できるため、暗号化によるパフォーマンスによる影響を抑えることができますので、運用に支障が出ることはほぼありません。」（陳氏）

また、各種権限の設定には、分かりやすい管理コンソールが用意されている。 「マイナンバー制に対応するにあたって、セキュリティ上、DBとシステムは管理者を別々にし、権限を明確に分けるべきだという考えがあります。通常DB管理者は、そのDBに対して全権を持っているわけですが、本来、データの内容を見る必要はありません。だからDB管理者といえども、暗号化されたデータしか見られないようにしておけば、安全度はいっそう高まります。こうした“職務による権限の分離”が行えるシステムを設計するのは難しいことですが、『D’Amo』にはそれを可能にする機能が搭載されています。しかも分かりやすいGUIを採用しているので、セキュリティ管理者によって、簡単に権限の詳細を設定することができます」（美濃部氏）

クラウド環境に対応した暗号化ソリューションも登場

「D’Amo」はオラクル（最新の12cに対応）やマイクロソフトの商業用DB向けだが、昨今、企業でも需要が高まっているオープンソースDB向けの姉妹品「MyDiamo（マイディアモ）」もラインナップされている。 「MySQLと、最近需要の高いMariaDBの両方に対応した暗号化製品は、今のところ他にはないと思います」（陳氏） 期間限定のキャンペーンや、入学試験のように、個人情報を扱うシステムを、コストメリットの高いOSSで構築するケースは、今後ますます増えてくるだろう。その際のセキュリティ対策として、「MyDiamo」は最適なソリューションとなりそうだ。 ペンタセキュリティではこれに加え、クラウド向けのDB暗号化ソリューション「AWS for D’Amo」を、6月に韓国で行われたAWSサミットで発表した。AWS環境にアップすれば、クラウド型DBに暗号化機能を付加できるというものだ。日本でも今後のクラウド環境のセキュリティ・ニーズも視野に入れる予定だという。

マイナンバーのセキュリティ対策を考え直すチャンスに

インターネット時代の到来など、ほぼ誰もが考えなかった50年前、住民登録番号制度を導入した隣国・韓国では、ネットバンキングの普及に伴って、2000年代後半から急速にDBの暗号化需要が高まったという。住民登録番号が銀行の口座番号データと結びつくことで、漏洩の可能性やその被害について、国民・企業の危機感が高まったからだと、陳氏は言う。 一方、マイナンバーは、インターネットが不可欠な存在となった現代に導入されようとしている。給与や税とも直結するマイナンバーを、ネットを通じて襲ってくる悪意からどう守ればいいのか、現在の対策で十分なのか…今回の日本で起きた漏洩事件は、それを考え直させてくれる、最後の機会なのかもしれない。

ペンタセキュリティの暗号化ソリューションについては、同社のサイトに詳細が掲載されている。興味を持たれた方は、この機会にアクセスしてみてはいかがだろうか。

ペンタセキュリティシステムズ 企業サイト： http://www.pentasecurity.co.jp/

[PR]提供：ペンタセキュリティシステムズ