ネットワーク・セキュリティの潮流（第1回）ネットワークが落とし穴!? 徹底防御が必要に

　企業規模にかかわらず、マイナンバー制度への早急な対応が求められている今、ネットワークセキュリティの観点から、企業のICTシステムが導入できるソリューションをチェックしよう。

対策1）クラウド型サービスで迅速・安全に

　人事給与システムを含めたシステム全体のセキュリティ対策は、企業規模によってソリューションが異なる可能性が高い。大企業ならば、オンプレミスのシステムをシステムインテグレーションすることで対応できるケースも多いが、中小規模の企業ではセキュリティ対策にかけるコストと時間が大きな問題になる。

　今後、マイナンバーの適用範囲やセキュリティ要件が変化する可能性を考えると、1つの解となるのがクラウド型サービスの利用だ。クラウド型のサービスを利用することで、初期費用を抑えながら必要なサービスだけを取捨選択して導入できる。2016年1月のマイナンバー制度の利用開始が近づいてからでも、クラウド型のサービスの利用であれば、対応が短期間で完了してしまうというメリットもある。

　ただしクラウド型サービスの利用に当たっては、マイナンバーの情報をクラウド上のサーバーに保管することになる。そのため、ネットワーク種別の選択が重要だといえる。インターネット上でVPN（仮想閉域網）を利用したとしても、データはインターネットというオープンなネットワークを通ってしまう。マイナンバー対応をクラウド型のサービスで実施するならば、セキュリティの強度を保つためにもインターネットを通らないIP-VPN型の閉域網を利用することを前提にしたい。

対策2）端末の取扱状況を可視化する

　ネットワークに接続する「端末」にも、セキュリティの考え方を導入する必要がある。誰でも使える端末で、マイナンバーの情報を取り扱うことには大きなリスクがある。また、誰が情報を取り扱ったかが判明できないと、万が一の際に不正使用などの証拠を残せない。

　端末側の対策としては、アクセス制御とアクセスログ記録が重要なポイントになる。まず利用者の個人認証を徹底し、不正なアクセスを防ぐ必要がある。マイナンバーを含む特定個人情報を扱う端末には、利用者の本人を証明するためにICカードや生体認証など複数の要素を併用した個人認証を行う、といったソリューションが求められる。その上で、端末となるパソコンで不正な処理ができないような操作制御を行う。

　さらに操作ログを取得する仕組みを導入することで、いつ誰がどのデータを利用したかを証拠として提出できるようにする。こうして、不用意な情報流出や悪意ある情報漏えいを未然に防ぐわけだ。

対策3）専用ハードウエアでネットワークからデータを守る

　マイナンバーを取り扱う端末をネットワークから孤立させて使えるならば、安全性は担保しやすい。しかし、業務で利用する端末を社内ネットワークから隔絶することは不可能に近いし、社内ネットワークとインターネットなどの外部ネットワークの相互接続も遮断するのは現実的でない。そうした状況の下でネットワーク側からの脅威を遮断する方策の1つとして、UTM（統合脅威管理）を導入する方法がある。

　UTMはセキュリティ対策向けの専用ハードウエアで、ファイアウオールやVPN、アンチウイルス、不正侵入防御などのセキュリティ機能を総合的に提供する。社内ネットワークとインターネットなどの外部ネットワークの接続点にUTMを配置することで、外部からの不正アクセスやウイルスなどの侵入といったリスクを抑える。

　ここで注意したいのは、UTMは導入すればOKという性格のハードウエアではないところ。“最新の状態”で、確実に稼働し続けることが求められるハードウエアなのだ。安全性の確度を高めるには、運用状況のモニタリングと故障の際に迅速に修理・交換を行える保守体制が必要だ。UTMの導入時には、運用・保守サービスも含めた安全性確保の要件をチェックしたい。