2015年12月末、健康保険証番号や名前、住所などの個人情報10万件以上が流出しているとの報道があった。保管元から情報が流出した時期は2005~2008年頃だったようだが、マイナンバー制度施行目前の報道ということで、多くの人が情報管理の安全性に不安を抱いたことだろう。
マイナンバーそのものは単なる数字の羅列ではあるものの、そこにひも付きけられた個人情報と一緒に漏洩してしまうことで、成りすましや詐欺など、悪用される危険性が高まる。これを避けるために有効なのがデータの暗号化だが、「単に暗号化するだけでは安全とは言えません」と、セキュリティ専門のグローバル企業ペンタセキュリティシステムズ・日本法人(以下、ペンタセキュリティ)の代表取締役社長 陳 貞喜(ジン・ジョンヒ)氏は釘を刺す。
マイナンバーを守るために必要な暗号化ソリューションとはどんなものなのか、そして継続的に運用していくには、どんな設計思想を持ったソリューションを選ぶべきなのかを、陳氏に聞いた。
「トータル暗号化ソリューション」の条件
「安全な暗号化ソリューションに必要な要素を挙げればキリがないので…」と言いながら、陳氏は5つのポイントをピックアップしてくれた。
【1】 ビジネス環境に合致した機能が入っていること
【2】 複数の暗号化アルゴリズムに対応できること
【3】 業務に柔軟な対応が出来るように設計されていること
【4】 暗号化の鍵をしっかり管理できるようになっていること
【5】 アクセス制御とセキュリティ監査が行える仕組みが整っていること
単に暗号化と言えば、データを無意味な文字列に置き換える暗号化と、必要なときにそれを復号できる仕組みのことを指すが、企業や組織内でデータを安全に扱うためには、この5つの条件を備えた「トータル暗号化ソリューション」が必要となるという。
暗号化に直接関係する【2】や【3】はもちろんだが、【5】の「アクセス制御とセキュリティ監査が行える仕組み」の重要性も忘れてはならない。
暗号化・復号の作業にあたっては、特定の担当者のみがデータにアクセスできるように制限する必要があるのはもちろんだが、アクセス権限を与えられた人物が、入手したデータを不正に利用することも考えられる。 実際、過去のいくつかの情報漏洩事件は、そうした内部犯罪によって発生している。そこで必要となるのが、データにアクセスしたユーザーの役職や権限、利用アプリ、場所、時刻、期間などをログに残す、セキュリティ監査の仕組みだ。この仕組みがあることを社員に知らせておくことで、不正を行おうという気持ちに歯止めを掛けることができる。
「今は制度が始まったばかりで、マイナンバーを収集・保管するところに重点を置いたソリューションが多いようですが、セキュリティ要素としてどんなものが実装されているかに注目して、トータルソリューションと呼べるものを選定していただきたいと思います」(陳氏)