マイナンバー制度|システム面の安全管理措置で注意すべき3項目

この記事は約 5 分で読めます。


企業が確認すべき「マイナンバー安全管理措置」の4ポイントの記事で述べたように、マイナンバー制度開始により、マイナンバー情報を扱う事業者では、情報の保護・保全、そして漏洩の防止のための「安全管理措置」の実施が必須となりました。

今回は、システム面での安全管理措置について、具体的に見ていきたいと思います。

安全管理措置の種類

まずは、安全管理措置の種類について確認しておきましょう。安全管理措置は下記4項目を示しています。

組織的安全管理措置

マイナンバー情報を扱う組織・体制について示すもの

人的安全管理措置

マイナンバー情報を実際に扱う担当者について示すもの

物理的安全管理措置

マイナンバー情報を扱う区域や機器媒体といった物理的な内容を規定するもの

技術的安全管理措置

情報システム上のマイナンバー情報に対してアクセス制御等による不正アクセスと情報漏洩の防止を規定するもの

人的管理とシステム的管理

マイナンバーに限らずコンピュータ上で情報の管理を行うにあたって重要なことは、情報を「人的に管理すること」と「システム的に管理すること」です。どちらが欠けてもうまくいくことはありません。

人的管理とは

人的に管理するということとは、情報を確実に管理する組織体制を構築し、情報を利用する人に対してしっかりとした教育・啓蒙を行うこと。そして、情報を利用する人を原因とした情報の漏洩のリスクを限りなくゼロに近づけるという点に目的をおいています。

システム的管理とは

システム的な管理とは、漏洩防止として情報の格納されたシステムやデーターベースなどに対し、アクセス管理や制御を行うことを指します。

このシステム的な漏洩の防止策では、適切でない利用者が情報を取り出して利用しようとしても、システム的にそれが出来ないようにするところに目的をおいています。

システム的情報管理の行い方

では、具体的にマイナンバー制度の施行に向けて実際に情報システム上で行える対策にはどういったものがあるのでしょうか。

まず最も重要なことは個人情報を扱う「人」と「システム」をその他と明確に区別することが求められます。他の情報と混ざらないようにするということですね。

その上で、システム上で情報を管理・保全するということは、情報セキュリティの3大要素である「機密性」「完全性」「可用性」の三方向から守れるシステムを構築することに他なりません。

システム的情報管理の具体的な3つの方法

アクセス制御

20e43a8e7eb74a08f284b3f291211ee91個人情報の格納の方法によっても対応の方法は変わってきますが、ファイルサーバーにファイルとして個人情報を置く場合は、そのフォルダに対して「アクセス権限」を設定する、あるいはそのファイル自体にアクセス権限を設定し、権限の無い者については閲覧できなくするという対応が出来ます。

また、隠しファイル設定を行うことによって、権限の無いものに対してはファイルの存在を見せないようにすることも出来ます。ファイルサーバーに利用するOSによって、その方法は若干違いがあります。

アクセス制御の方法

WindowsでもUNIXでも、個人のユーザアカウントや複数人のグループとしてのグループアカウントを設定し、それらに対してアクセス権を設定します。

  • 読み取りのみ可能な権限:読み取り権
  • 読み書き可能な権限読み書き権

これによって権限を与えられた適切な利用者、あるいは組織に対して情報に対するアクセス権を設定し、彼ら以外のアクセス権を持たないユーザーはアクセス出来ないようにする「機密性」を実現します。

一元的なユーザー管理で実用性を保つ

さらにこのアクセス制御については、WindowsではActiveDirectryによるドメイン環境のユーザー管理を活用することが出来ます。

組織内でのコンピュータやユーザーの管理はActiveDirectoryドメイン環境を活用することが主流になっており、これによるユーザー管理と連携してアクセス制御を行うことで一元的なユーザー管理を行うことが可能となっています。

UNIX環境でもLDAPなどのディレクトリサービスを構築することで同様に一元的なユーザー管理環境を構築することが可能です。

またLinuxなどではActiveDirectoryとの連携が可能となっていますので、これを活用してActiveDirectoryを活用したファイルサーバー環境を構築することも可能となっています。

データーベースのアクセス制御

個人情報の格納先にデーターベースを利用する場合は、利用者の各ユーザアカウントを設定し、データーベースに対する読み取りや読み書きといったアクセス権をファイルサーバーのそれと同様に付与していくことになります。

オラクルなどのデーターベースでは、データーベースにアクセスするユーザアカウントに対して、データーベースの格納先(テーブル)ごとに「ロール」と呼ばれる権限を個別にきめ細かく設定することができます。

例えば、Aさんはテーブル1は読め、テーブル2は読めないのに対して、Bさんはテーブル1は読めないがテーブル2は書き込めるといった具合に出来るのです。

暗号化

c7b9024fe0495f3e938b801b944ea4361加えて重要なことは「暗号化」です。ファイルやデーターベースに対しての情報の暗号化を行うことが肝心です。

例えばOracle Advanced Securityの「Transparent Data Encryption(TDE)」ではオラクルデーターベースのバックアップを完全暗号化することが出来、情報の漏洩を防止できます。

また、ネットワーク上の通信に対しても、暗号化を行うことによって情報が外部へ漏洩することを防ぐことが必要です。

まとめ

上記に書いた「アクセス制御」「暗号化」などの施策をを行うことによって、情報システム側でのマイナンバーの管理「技術的安全管理措置」を適切に実施することが出来るでしょう。


IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

こちらのページもご覧ください。

メルマガ会員登録(無料PDFプレゼント)

メルマガ会員登録をしていただくと下記PDFもプレゼント!
0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策ハンドブック

企業における情報漏洩対策として重要な、セキュリティ対策のための知識として基本的な「まずは知っておくべき内容!」をピックアップし、約40ページのPDFに整理いたしました!

その具体的な内容は、


img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラから