危ないのはマイナンバー自体ではなく「個人情報」と「認証情報」
キム氏によれば、日本のマイナンバー制度においても、この「識別と認証の混同」は起こり得るという。例えば、マイナンバーを認証に用いるようなシステムを作ってしまうと、他人のマイナンバーを取得した攻撃者による不正アクセスを容易に許してしまう可能性がある。そのため「韓国の事例に学び、識別と認証をきちんと分けて考えることが最も重要だ」とキム氏は力説する。
また前述のように、日本のマイナンバーそれ自体は純粋なID情報であり、その中に個人情報は含まれないものの、それが一度個人情報や認証情報とひも付けられるようになると、情報漏えいリスクは一気に高まる。
「重要なのは、マイナンバー自体が危ないのではなく、それとひも付く個人情報と認証情報が危ないということ。ここを混同してはならない。マイナンバーそのものを守ることももちろん重要だが、最も大事なのは関連する個人情報と認証情報をそれぞれきちんと分けた上で、個別にしっかり守っていくことだ」(キム氏)
「Security Online Day2015」(2015/09/07)、ペンタセキュリティシステムズ「韓国の教訓から学ぶ!日本のマイナンバー制度に求められるセキュリティ対策とは」講演資料[クリックすると図が拡大します]
外部からの攻撃を防ぐには、ネットワーク/システム/アプリケーションの各レイヤーでそれぞれ防御が必要だが、ただやみくもにセキュリティ製品を導入するだけでは運用が空回りするばかりで、実効性のある対策を取れない可能性がある。そのため、自社の業務でマイナンバーをどう活用しているかをきちんと理解し、業務オペレーションに合わせた形で対策の導入と運用の設計を行うことが重要だとキム氏は指摘する。
一方、内部犯行を防ぐにはデータ暗号化が極めて有効だが、暗号化だけでなくアクセス制御とログ監査も組み合わせて運用することで初めて有効な対策が実現すると同氏は述べる。ちなみにペンタセキュリティでは、暗号化技術に強みを持つベンダーで、キム氏自身も暗号化技術の専門家である。
「いくらデータを暗号化しても、それを誰もが復号できてしまうようではセキュリティ対策として意味をなさない。データを暗号化した上で、それを復号するための鍵のアクセス権や、復号の権限をきちんと制御する『セキュア暗号化』を行ってこそ、初めて有効なセキュリティ対策だといえる」(キム氏)
