Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

国民ID制度の先行国に学ぶ、マイナンバー対策の勘所―韓国ペンタセキュリティ キム・ドクスCTOが解説

  2015/11/19 06:00

危ないのはマイナンバー自体ではなく「個人情報」と「認証情報」

 キム氏によれば、日本のマイナンバー制度においても、この「識別と認証の混同」は起こり得るという。例えば、マイナンバーを認証に用いるようなシステムを作ってしまうと、他人のマイナンバーを取得した攻撃者による不正アクセスを容易に許してしまう可能性がある。そのため「韓国の事例に学び、識別と認証をきちんと分けて考えることが最も重要だ」とキム氏は力説する。  

 また前述のように、日本のマイナンバーそれ自体は純粋なID情報であり、その中に個人情報は含まれないものの、それが一度個人情報や認証情報とひも付けられるようになると、情報漏えいリスクは一気に高まる。  

 「重要なのは、マイナンバー自体が危ないのではなく、それとひも付く個人情報と認証情報が危ないということ。ここを混同してはならない。マイナンバーそのものを守ることももちろん重要だが、最も大事なのは関連する個人情報と認証情報をそれぞれきちんと分けた上で、個別にしっかり守っていくことだ」(キム氏)

図:個人識別用ID、個人情報、認証情報を保護するためのセキュリティ対策を考える
「Security Online Day2015」(2015/09/07)、ペンタセキュリティシステムズ「韓国の教訓から学ぶ!日本のマイナンバー制度に求められるセキュリティ対策とは」講演資料[クリックすると図が拡大します]

 外部からの攻撃を防ぐには、ネットワーク/システム/アプリケーションの各レイヤーでそれぞれ防御が必要だが、ただやみくもにセキュリティ製品を導入するだけでは運用が空回りするばかりで、実効性のある対策を取れない可能性がある。そのため、自社の業務でマイナンバーをどう活用しているかをきちんと理解し、業務オペレーションに合わせた形で対策の導入と運用の設計を行うことが重要だとキム氏は指摘する。  

 一方、内部犯行を防ぐにはデータ暗号化が極めて有効だが、暗号化だけでなくアクセス制御とログ監査も組み合わせて運用することで初めて有効な対策が実現すると同氏は述べる。ちなみにペンタセキュリティでは、暗号化技術に強みを持つベンダーで、キム氏自身も暗号化技術の専門家である。  

 「いくらデータを暗号化しても、それを誰もが復号できてしまうようではセキュリティ対策として意味をなさない。データを暗号化した上で、それを復号するための鍵のアクセス権や、復号の権限をきちんと制御する『セキュア暗号化』を行ってこそ、初めて有効なセキュリティ対策だといえる」(キム氏)



著者プロフィール

  • 吉村 哲樹(ヨシムラ テツキ)

    早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day 2015 講演レポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5