2016年から本格稼働が開始されるマイナンバー制度。税と社会保障、災害対策の分野で情報を効率的に管理するための、統一番号として注目を集めています。しかしマイナンバーの運用開始に伴って、企業や自治体の情報システムにも大きな改修が必要となります。
そこで今回は、実際にシステムエンジニアが開発に携わった、マイナンバーのセキュリティに関する事例を紹介していきます。
まずは外部からの不正アクセスを防ぐ!ファイアウォールの事例
マイナンバーは重要な個人情報を紐づける大切な番号ですので、その保管方法が課題となります。個人で管理するのであれば自己責任ですが、企業の情報システムでは、システムを利用する大勢の人々のマイナンバーを、しっかりと保管する仕組みがどうしても必要になりますよね。そこでセキュリティに関する開発事例が多数存在しています。
例えば、最もメジャーな開発事例は、情報の出入り口のセキュリティ強化です。外部から、マイナンバーが保管されたサーバーに対する攻撃を防ぎ、さらに内部からの漏えいも防止するために、強力なファイアウォールを新設します。このファイアウォールは、完全遮断方式によって一切の通信を遮断するかなり強力なものです。
通常、ファイアウォールはあらかじめ決められた通信のみを許可し、不要な通信を遮断する方式が主流ですが、漏えいのリスクを限りなくゼロに近づけるために完全遮断方式を採用する企業が存在しています。実際に通信が必要になった場合は、特定の経路を幾重にも張り巡らされた認証を用いて通過し、アクセスできるようにするため、運用の手間が多くなりがちです。
しかしマイナンバーの性質上、絶対に漏えいは避けたいという企業の要望から、運用コストを増やしてでもセキュリティの強化に踏み切っています。
内部からの漏えいを防ぐ!アクセス権の見直しと制御
漏えいのリスクは何も外部からの攻撃のみではありません。昨今の情報漏えい事件で最も多いのが、内部からの人的な要因による漏えいです。
本来、特定の権限を持つ者のみが閲覧可能なデータを、権限を持たない人間が閲覧できる状態にしたために、大規模な個人情報の流出へと繋がった事例が多く存在しています。組織内部の人間が持つ権限は、異動や昇進によって日々変化するものですが、システム側が持つ権限と実際の人間に与えられた権限の紐づけが整理されていないと、このような情報漏えいを招いてしまいます。
マイナンバーの運用開始に伴い、企業や団体は特定個人情報の取り扱いに非常にナーバスになっています。そのためマイナンバー自体と、それ以外の個人情報を別に保管し、それぞれのデータにアクセスする権限をきめ細やかに制御できる仕組みを自社の情報システムに求める企業が増えています。また実際に権限がある人間でも、複数の認証システムを通過して初めてデータの閲覧が可能になるように、認証システム自体の再構築を進める企業も存在します。
マイナンバー自体は一元管理を目的とした番号ですが、実際にそれを用いる現場においては、マイナンバーとそれに紐づく個人情報を別に保管し、アクセス権や認証システムもそれぞれ独立させるために、結果として運用コストが増大するといった事例が多くなっているのです。
ログ収集と保管に関する機能の強化
実際に情報漏えいが起こってしまってから、その犯人を特定していたのでは、対策が後手に回ってしまいます。マイナンバーは非常に重要な個人情報に紐づく「インデックス」的な働きをするため、その取り扱いには細心の注意が必要です。
そこで普段から、誰がどのようにデータにアクセスしたかを保存するシステム側のログを収集する機能を強化し、それを長期間保管するための改修が必要になることがあります。これまでもシステム側の操作ログを収集していたという管理者は多いのですが、実際にそのログを有効利用していたかとなるとその割合は必ずしも高いとは言えません。
マイナンバー導入にともなって、操作ログをより精密に収集し、それを自動チェックする仕組みを新たに構築したいといった要望が増えています。システムの操作ログは社員や職員の行動をある程度監視することにも繋がるため、ナイーブな面もあります。しかしマイナンバーの情報流出という大きなリスクを管理するためには、必須の改修と言えるでしょう。
▼ 高単価 システムエンジニア 案件を探すなら ▼
invalid URL
▼ 即戦力 人材を探すなら ▼
アサインナビfor採用