あなたの会社のマイナンバー対応は十分といえるか?
2015年にEnterpriseZineでもっとも読まれた記事は「作った人に聞いてみた、マイナンバーとの上手なつきあいかた」という内閣官房 社会保障改革検討室 浅岡孝充氏へのインタビュー記事だった。記事のベスト10には他にもマイナンバー関連記事が4つもエントリーしており、この分野への関心の高さが窺える。
いよいよマイナンバー制度の運用がスタートし、給与を支払っているすべての企業は従業員からマイナンバーを収集し適切に管理しなければならない。しかし、「マイナンバー対応は十分だ」と胸を張って言える企業はまだ少ない。
多くの企業で、個人番号の管理は紙ではなくITシステムを使って行うはずだ。そうなるとそれを管理、運用するIT部門は、番号が漏洩しないかと不安な毎日をおくることになるかもしれない。
重要データの漏洩防止策の問題点とは
重要データの漏洩防止策は、多くの企業でこれまでも施してきたはずだ。ファイアウォールを設置しアンチウィルスソフトを利用、ストレージやOSの暗号化機能も活用しているかもしれない。さらには、USBメモリなどの外部記憶装置の利用制限やモバイルPCの持ち出し制限などを実施している企業も多い。
これら対策を行っても、残念ながら漏洩事故は後を絶たない。たしかにファイアウォールやアンチウィルスなどを利用すれば、サーバーやネットワークへの外部からの攻撃を防ぎ、不正アクセスや情報の不正流出を防ぐことができるだろう。また、OSの管理者権限の不正取得なども抑止可能だ。とはいえ、それらで重要な“情報そのもの”が確実に守られるわけではない。いまや重要な情報の多くは、データベースに格納され管理されている。データベースに不正にアクセスして、そこから情報を抜き取られてしまえばファイアウォールやアンチウィルスなどではその行為を防げないのだ。
▲参考:内部不正事件例[クリックすると図が拡大します]
また、あまりにもセキュリティ対策を厳しくすると日常業務にも支障がでてくる。そうなると、規定に違反し重要情報をコピーして手許に保管するなど、漏洩リスクは一気に増すことになる。
ホワイトペーパー資料『マイナンバーはデータベースで守れ!企業の重要データを守るための最新DBセキュリティの勘所』(全10ページ、無料PDF)公開中!!
マイナンバーにおける企業システム対応の注意点と、DBセキュリティの重要性や選定ポイントなどを詳しく解説しています。
本ホワイトペーパー資料は、EnterpriseZine/DB Online編集部が制作(協賛:日本アイ・ビー・エム社)した解説資料です。ぜひ、本資料をダウンロードいただき、適切な企業のマイナンバー対応とセキュリティ対策に関する参考資料としてお役立てください。
マイナンバーこそデータベースで守る
マイナンバーのような重要情報を守りながら、業務に支障が出ない使い勝手を提供する。そのためには、データベースをうまく活用すべきだ。データベースであれば個々のデータ単位できめ細かなアクセス制御ができる。必要な人にはストレスなく情報を提供し、権限のない人にはアクセスさせない。これができるのが、データベースの大きなメリットだ。
またデータベースであれば、データ処理の詳細をログに残せる。この機能を使えば、何らかの事故が発生しても原因やその過程を素早く解明できるだろう。それで、被害を最小限に抑えることも可能だ。もしファイル単位でデータを管理していたなら、きめ細かいアクセスコントロールは難しく、どの情報がどうやって漏洩したかを把握するのにも時間がかかる。このようにデータベースのセキュリティ機能を使いこなすことは、企業において重要情報を適切に扱うためには必須となる。
もちろん、データベースの基本的な機能だけでもそれなりの制御は可能だ。しかし、マイナンバーのような極めて重要な情報を適切に管理するには、さらに一歩進めたデータベースのセキュリティ管理が必要となる。 たとえば、収集するログがきちんと監査に耐えられるものかどうかは重要なポイントだ。誰がいつどんな操作をしたかを詳細に記録し、その上でログの改竄ができない仕組みがいる。賢い犯罪者であれば、自分が不正アクセスしたログを改竄し痕跡を消してしまうからだ。
▲参考:機密データへのアクセス制御[クリックすると図が拡大します]
データベースにおける管理者権限の問題点
もう1つ重要なポイントが、データベースやOSの管理者と、セキュリティ管理者を分けることだ。さらには、たとえばマイナンバーデータへのアクセス権限を、データベース管理者であっても与えない制御ができればなおいい。これができないと、ルート権限を乗っ取られると重要情報にも自由にアクセスでき、ログの改竄も可能となりかねない。ログはデータベースとは別の専用サーバーで管理し、そこへのアクセスはセキュリティ管理者などの特別な権限を持った人だけにできるといいだろう。
また、データベースでアクセスコントロールを行い、詳細にログを収集していても、それだけで漏洩を防げるわけではない。実際にそのデータベースの利用状況を日常的に監視し、適切なタイミングで監査ができなければならない。データベースのアクセスコントロール機能は、権限のない人がマイナンバーにアクセスすることを阻止できるが、権限がある人の行為は止められないためだ。
権限を与えている人は信用度も高く、その人が悪さを働くことまで考えられないかもしれない。とはいえ、たとえば家族を人質に取られ不正アクセスを強要されたら、信用できる人物も犯罪を起こす。大事なのは重要な情報にアクセスする権限があっても、それが不正なアクセスであれば素早く発見し阻止できるようにすることだ。
ホワイトペーパー資料『マイナンバーはデータベースで守れ!企業の重要データを守るための最新DBセキュリティの勘所』(全10ページ、無料PDF)公開中!!
マイナンバーにおける企業システム対応の注意点と、DBセキュリティの重要性や選定ポイントなどを詳しく解説しています。
本ホワイトペーパー資料は、EnterpriseZine/DB Online編集部が制作(協賛:日本アイ・ビー・エム社)した解説資料です。ぜひ、本資料をダウンロードいただき、適切な企業のマイナンバー対応とセキュリティ対策に関する参考資料としてお役立てください。
データベースのセキュリティ機能を最大限に活用する
たとえばマイナンバーの参照は、多くの場合人事給与などのアプリケーションからだ。そこで、業務時間内の人事給与アプリケーションからのアクセスは許可するが、問題なのは管理者や開発者などによるデータベースへの直接的なアクセスだ。これは、権限を与えていれば阻止しにくい。しかし、権限を与えないと開発やバックアップなどの管理作業ができないこともある。
たとえば、開発や管理作業では特別な場合を除き一度に数件のマイナンバーしか参照しないだろう。もし大量にマイナンバーを収集するSQLが発行されたならば、すぐにアラートを挙げるようにする。また、業務時間外にマイナンバーのテーブルにアクセスする場合もアラートの対象だろう。そのような日常業務と異なる行為を常に監視して、即座にそれを発見しデータを守るアクションを起こす。これもデータベースのセキュリティ機能があれば可能になる。
データの使い勝手を維持しつつ大切に守る。そのためにはデータベースのセキュリティ機能を最大限に活用し、重要情報はなるべくデータベースで管理するようにする。それが、今後のITシステムの運用管理では鍵となるだろう。
ホワイトペーパー資料『マイナンバーはデータベースで守れ!企業の重要データを守るための最新DBセキュリティの勘所』(全10ページ、無料PDF)公開中!!
マイナンバーにおける企業システム対応の注意点と、DBセキュリティの重要性や選定ポイントなどを詳しく解説しています。
本ホワイトペーパー資料は、EnterpriseZine/DB Online編集部が制作(協賛:日本アイ・ビー・エム社)した解説資料です。ぜひ、本資料をダウンロードいただき、適切な企業のマイナンバー対応とセキュリティ対策に関する参考資料としてお役立てください。
