マカフィー マーケティング本部 ソリューションマーケティング スペシャリストの松久育紀です。
刻一刻と近付くマイナンバー制度の開始と、それに先立つ2015年10月からの番号配布を前に、いよいよ対策に取り組み始めた企業も多いのではないでしょうか。一連の対応の中でも最も頭が痛いのは、マイナンバーを含む個人情報、いわゆる「特定個人情報」が外部に流出しないよう対策することかと思います。
もちろん多くの企業では、既にさまざまな形で情報漏えい対策を講じていることでしょう。しかしマイナンバー制度の開始に伴って法律が改定されました。もし特定個人情報を漏えいさせてしまった場合、漏えい者はもちろん企業にも厳しい罰則が科せられます。もちろん、ブランドイメージに与える影響も少なくありません。あらためて情報漏えい防止策の徹底が必要になっているのです。
外部からの攻撃よりも被害の大きい内部犯行
さて、対策を考える前に、まず情報が流出する経路や原因を考えてみましょう。過去の情報漏えい事件を振り返ってみると、大きく「外部からの不正アクセスによるもの」と「内部関係者の犯行によるもの」の二つに大別できます。
情報漏えい対策というと、つい外部からの攻撃ばかりに意識が向きがちですが、実際には、後者の内部犯行による情報漏えいが非常に多いのです。2014年に世間を大きく騒がせた、大手教育関連企業における情報漏えい事件もその一つですね。こうした事実を考えると、まずは内部犯行対策が非常に重要となることがお分かりいただけるかと思います。
では、内部犯行対策って一体何をすればいいのでしょう? 特定個人情報保護委員会が公開した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(pdf)」の別添資料では、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」に分け、取るべき対策を示しているのですが、「情報漏えい等を防止するための措置を講ずる」というふんわりとした表現にとどまっています。そこで、マカフィーがこれまでさまざまな対策をお手伝いしてきた経験から、そのポイントを具体的にご説明します。
まずはポリシーの作成を
情報漏えい対策に限らず、セキュリティ業界ではしばしば「このソリューションを入れておけばOK」といったうたい文句を見かけることがあります。しかし大事なのは、何らかの製品を導入することではありません。「自社にとって守るべきものは何か」「大事なものは何か」を明確にし、情報の取扱に関するポリシーを定めることです。その指針が明らかになって初めて、ルールを徹底するための手段との製品にブレイクダウンしていくことができます。
先に触れた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」でも、そのことは明確にされています。さまざまな措置を講じる前提として、まず「基本方針の策定」が重要であると述べられているのです。
もちろんポリシーを定めるには、自社の中にどんな情報があるか、どんな資産があり、誰がそれを扱うべきなのかを把握しておく必要があります。何があるかが分からなければ、何が大事なのかも判断できません。こうした事柄を整理し、何が機密情報であり、何を優先的に守るかを明確にして初めて、有効な情報漏えい対策を講じることができるのです。
Data Loss Prevention(DLP)による持ち出し防止
こうして守るべき資産が明らかになったならば、それを内部関係者による不正な持ち出しから防ぐ策を講じることになります。この目的にぴったりの製品が、「McAfee DLP Endpoint」と「McAfee DLP Monitor/Discover/Prevent」です。
前者は、ノートパソコンやデスクトップなどのエンドポイントにインストールするソフトウェアで、PC内に保存された重要なデータを含むファイルを見つけたり、PCからWeb/メール/クラウドストレージ/印刷/コピー/USBメモリなどの外部メディアに送信持ち出されるデータを監視し調べ、事前に設定したルールに抵触する場合は警告を表示したり、ブロックしたりします。後者も基本的に同じ仕組みですが、監視する対象はネットワークを流れるデータです。エンドポイント以外、例えばネットワーク上のサーバやデータベースなどに保存されたデータを調べたり、DLPがインストールされていない端末から送信されるデータについても、ルール違反がないかを調べることができます。
さて、先に「どこにどんな資産があるかを把握しておくことが大事」と申し上げました。マカフィーではその部分を支援するため、マイナンバーデータのフォーマットを認識し、漏えいを検出できる「マイナンバー情報検出ソリューション」を発表しています。
(クリックで拡大)
これは、マイナンバー制度で使用される12桁の個人番号や13桁の法人番号を含むファイルを数字の羅列を見つけるためのMcAfee DLP Endpoint用のルールテンプレート(下記の関連情報ページよりダウンロード可能です)です。PCのドライブをスキャンし、マイナンバー情報が存在しないかどうかを調査します。そしてもし見つかったデータがWebやメールで外部に送信されようとしたり、USBメモリやスマートフォンなどにコピーされ、外部に持ち出されそうになったら、PC画面上に警告を表示したり、そのアクションをブロックすることができるのです。これによって、マイナンバーの扱いに関するポリシーを徹底することができます。McAfee DLP Monitor/Discover/Preventではカスタムルールを作成することで、同じ対策を実現できます。
次回のマイナンバー特集では、これらDLPと暗号化、SIEMとの連携ソリューションについてご紹介します。
関連情報:
著者: マカフィー マーケティング本部 ソリューションマーケティング スペシャリスト 松久育紀
