2015/06/11

多層防御のセキュリティ運用でマイナンバー対応、ウォッチガード&クオリティソフト対談

ウォッチガード社長執行役員の根岸正人氏とクオリティソフト代表取締役社長(COO)の久保統義氏

マイナンバー制度は、すべての企業が対応しなければならない点や、国民全員に恒久的な一意の番号が振られる点、2016年1月からスタートする点などを考慮すると、対応までの猶予は少ない状況といえる。そこで今回、マイナンバー制度対応において協業したウォッチガード・テクノロジー・ジャパン株式会社(ウォッチガード)の社長執行役員である根岸正人氏、クオリティソフト株式会社の代表取締役社長(COO)である久保統義氏に、マイナンバー対策についてお話をうかがった。

  • ウォッチガード社長執行役員の根岸正人氏とクオリティソフト代表取締役社長(COO)の久保統義氏

    ウォッチガード社長執行役員の根岸正人氏とクオリティソフト代表取締役社長(COO)の久保統義氏

  • 根岸正人氏

    根岸正人氏

  • 久保統義氏

    久保統義氏

  • 根岸氏の考える多層防御

    根岸氏の考える多層防御

――マイナンバー制度の導入により、企業が抱えるリスクはなんでしょう。

根岸氏
報道によると「9割の企業がマイナンバー制度に未対応」とされており、実際対策に着手できていない民間企業、地方自治体が圧倒的に多いのが現状です。そして、マイナンバー制度における企業のリスクは、やはり情報漏えい事故でしょう。企業は家族を含めた社員のマイナンバーを持つことになりますので、この12桁の番号をどう管理するかが非常に重要です。ただ現時点では、企業は人事や総務のシステムの対応を先行していると思いますが、今後は情報システム部門がマイナンバーをどう扱っていくか、いかに情報漏えいを防ぐか。今まで以上に注意が必要になります。

マイナンバー制度では、ペナルティが非常に厳しくなっていることにも注意が必要です。ここはPマークと混同されがちなのですが、マイナンバー制度は企業規模や保持している個人情報の件数などは関係ありません。全事業者が対象になります。ペナルティとして4年の懲役、200万円の罰金と発表されています。アメリカなどの先進国では、ソーシャルセキュリティナンバーというものがあり、厳重なセキュリティをかけていますが、それでも情報漏えい事故が絶えないのが現状です。情報漏えい事故が発生すると、事業の継続性やブランドの失墜など大きなダメージを受けることになりますので、引き続き注意喚起が必要であると考えています。

久保氏
マイナンバー対応製品の発表会がこの5月6月で終わり、秋にはそれらの製品がすべて発売されるでしょう。同時に、10月にはマイナンバーが交付されますのですごく忙しくなるでしょう。そこで私たちは、今は「インフラのセキュリティ整備を行う時期」だとご提案しています。インフラのセキュリティ整備についてはすでに昨年末にガイドラインが発表されていますが、ガイドラインに沿ったセキュリティ統制を今、見直しておくべきでしょう。それを秋までにやっておかないと、さらに作業が重なることになってしまいます。

――企業側に求められるセキュリティ対策について教えてください。

久保氏
ガイドラインを見ると、大きく5つの対策に分かれています。ひとつ目が管理体制の見直しなどで、物理および情報セキュリティをきっちりやるということです。二つ目がアクセス制御で、これはActiveDirectoryや多要素認証などに取り組むことになります。三つ目が取り扱い履歴と持ち出し管理で、ログ管理製品が必要になります。四つ目が保管期限と廃棄で、きちっとPDCAを回すことが重要ですが、パッケージ製品が出てくるでしょう。そして五つ目が、情報漏えい対策になります。ここは特に重要で、複数のアプリケーションに同じ番号を登録するような場合には、本人確認書類のスキャンデータ・リスト化されたExcelやCSVといった形式の中間ファイルなどを保有する可能性が高くなり、注意が必要です。

その中間ファイルに関しても、複製を最小限にしなければなりません。また区域外、担当外の人が中間ファイルを持つことは禁止されていますので、それを証明できる状態にしなければならないのです。これは、私たちが得意なデバイスのセキュリティ、それにウォッチガードさんが提供しているようなゲートウェイセキュリティと、多重のセキュリティ統制をしていかなければならないと思っています。

根岸氏
大企業はこれまでのセキュリティ対策の下地があるので、マイナンバー対応はそれほど難しくないかもしれません。しかし、問題は中堅・中小企業です。中堅企業において、標的型攻撃が情報漏えいにつながったケースは、2011年から約3倍に増えており、標的型攻撃が従業員250人以下の企業にマーケットを移しています。そして、そういう企業は情報漏えい対策がほとんどなされていないのが実情なのです。

中堅・中小企業は予算もないですし、ITのリソースも専門家も少ない状況です。そこに必要とされるのは、わかりやすくて運用管理がしやすくて、費用対効果の高いセキュリティソリューションです。また、ひとつのアプライアンスに高度なセキュリティの技術を統合し、多層防御が可能なものが求められます。

たとえばウォッチガードのアプライアンスは、アンチウイルス、ファイアウォール、Webフィルタリングに加えて、いわゆるゼロデイ攻撃に対応する標的型攻撃対策(APTBlocker)を新たに搭載し、多層防御を実現しています。ただし、機器を導入すれば安心というわけではありません。何よりも重要なのは、セキュリティ運用の可視化です。

実際に、マルウェアが進入しても3カ月、6カ月もの間、気づかない企業は多くあります。そこでウォッチガードでは、セキュリティ運用を可視化できるツール「Dimension」を標準で提供しています。これにより、セキュリティの専門家がいなくても日々のセキュリティ運用を可視化できるので、非常に導入しやすいソリューションとなっています。

久保氏
根岸さんがおっしゃったように、セキュリティは運用が非常に大事です。たとえ高価なセキュリティ対策製品を導入しても、運用がしっかりできなければ意味がありません。それはデバイスのセキュリティも同様で、運用の自動化が必要だと考えています。たとえばクオリティソフトでは、「ISM CloudOne」というツールをご提供しています。このツールは、セキュリティホールなどのパッチマネージメントを自動化するものです。

またIT資産管理製品「QND」は多くの管理者の方々にお役立ちできていると思いますが、今回のターゲットとなる中小企業においては、管理者がひとりしかいない、あるいは兼任している、管理者がいないというケースもあるでしょう。そこで運用するには自動化が不可欠で、マネージメントサービスとして提供されている「ISM CloudOne」が有効であると思います。もちろん「QND」との連携も可能です。

マイナンバー制度への対応を、クラウドのサービスを活用して行っていくケースは非常に多くなると思います。クラウドサービスでも多要素認証など厳密性が高まっていますし、機密性と原本性の確保は担保されていると思います。ただ、可用性の部分はユーザが確保していかなければなりません。それは、デバイスとネットワークです。いずれもダウンしたら使えなくなってしまうので、デバイスとネットワークの多層防御が重要です。ウォッチガードさんとクオリティソフトの組み合わせは、自動化と多層防御を容易に実現できる点で価値が高いと思います。

根岸氏
直接ではないのですが、弊社のパートナーさまもウォッチガード製品を使用した運用サービスを展開しています。クオリティソフトさんもすべてパートナーさま経由で販売していますので、今後は両社共通のパートナーの育成を強めていきたいですね。

――マイナンバー対策においても、オールインワンの製品、あるいはそのマネージメントサービスがベターということでしょうか。

久保氏
マイナンバーはガイドラインがありますから、その条項に対してひとつずつチェックしていくことが重要だと思います。その際に、ウォッチガードさんとクオリティソフトの製品の組み合わせであれば、お互いに機能を補完しているので、すべてマッピングされています。ガイドラインへの準拠が容易であるということです。

あとはマイナンバーの個人情報が記載された中間ファイルを把握するという問題があります。たとえすべて把握しているつもりでも、実はテンポラリファイルになっていて見つからないなどということもあります。しかし、そこから情報漏えいしてしまうケースも過去にたくさん起きていますから、対策が必要です。そこに関しては、クオリティソフトが自動的にファイルを探し出すシステムを提供しています。そういったものをしっかり実装すべきだと思います。

中間ファイルは、システムが生成するもの以外に、たとえばユーザがエクセルなどのファイルに記録しておいて参照するといったことが行われると思います。それも自動的に探し出してセキュアな状態にすることも非常に重要です。また、マイナンバーが含まれるデータをUSBメモリにコピーして社労士に渡すというケースも考えられます。すべて禁止するのではなく、正しいプロセスで持ち出しの許可を得て、履歴もしっかり残すことが重要です。こういったコンテンツセキュリティは、重要ファイル管理・漏えい対策強化ツールの「QGG」で対応できます。

根岸氏
クオリティソフトさんの製品は、市場での豊富な実績と評価の正確性で、エンドポイントのセキュリティを強化できます。ウォッチガードも、もうひとつの観点ではゲートウェイでの入口、出口の対策はありましたが、内部のセグメンテーションを強化をするためにスイッチ機能も搭載しています。これは「WatchGuard Firebox M440」という機種なのですが、内部のネットワークを総務や人事、営業、技術などでセグメンテーションを細分化することによって、万一被害があったときでも極小化できるわけです。

たとえば、営業部では被害が発生したけれども、ほかの総務や技術といった部署では被害が起きない。そういった、エンドポイントセキュリティまで含めた、内部のセキュリティの強化対策をひとつのアプライアンスでできます。

――マイナンバー対策に対し、企業はいつ頃から準備を始めるべきでしょう。

久保氏
この5~6月頃から、各アプリケーションメーカーからマイナンバー対応製品や、対応のためのバージョンアップなどがアナウンスされていきます。まずは人事や給与システムになると思いますが、発表を受けて9月以降にどんどん製品が出てくるでしょう。そこは実直に対応していただければいいのですが、タイミングを同じくして10月からマイナンバーそのものが配布されていきます。

たとえば、1月に雇ったアルバイトがすぐに辞めてしまっても、来年の12月の年末調整には、そのアルバイトのマイナンバーが必要になるわけです。このため、1月1日からマイナンバーを収集する体制だけは整えておかなければなりません。つまり、今年は年末にソフトウェアのバージョンアップとマイナンバーの収集と、従来の年末調整が重なってくる可能性が高いわけです。

そのため、経理や人事の方は非常に忙しくなるでしょう。また、マイナンバーの収集も大変です。本人確認が必要なため、メールでもらうというわけにはいきません。忙しさはさらに拍車がかかるでしょう。ただ、アウトプットは来年末になるわけですから、まずは来年頭までにすべきことは、本人確認をした上でどうマイナンバーを収集するのか、そして収集したマイナンバーをどう守るのかにフォーカスすべきでしょう。

――マイナンバー対策を機に、導入を検討すべきセキュリティ対策はありますか。

根岸氏
企業には、ファイアウォールは99%導入されていますし、ゲートウェイのアンチウイルスソフトも入っています。しかし、やはり標的型攻撃、ゼロデイ攻撃に対する認識はまだまだ低い印象です。そして、標的型攻撃対策として先行していた製品は、もともと軍で始まった製品で「検知だけしてくれればいい」という要件で作られた製品でした。軍には検知後の対応を行うプロがいたんですね。

その製品をそのまま日本に持ってきて大企業に展開していって、売れてきてはいるんですが、やはり運用ができていないのが現状です。一方、中小企業では「アンチウイルスが入っているから大丈夫」というレベルです。ですから、ウォッチガードとしては、シグネチャベースのアンチウイルス対策では、標的型攻撃に使用されるマルウェアやゼロデイ攻撃は防ぐことができず、社内に入ってきてしまうと言う現実を直視していただいて、正しい標的型攻撃対策をひとつ追加していただくこと、ひとつのコンソールで容易に管理できることを、まずは訴求していきたいと思っています。

また、海外ではソーシャルセキュリティナンバーを狙うサイバー攻撃が盛んに行われており、情報漏えいが頻発していると冒頭で申し上げました。日本のマイナンバーも、同様にサイバー攻撃者の標的になることは間違いありません。クレジットカード番号や銀行口座の番号を狙うのと同じような攻撃が、マイナンバーでも起こります。攻撃者は最新の技術で攻撃してきますから、最新のセキュリティ技術でないと守れないのです。

さらに、今回のアライアンスを機に、クオリティソフトさんとウォッチガードによる共同ソリューションの導入支援プログラムを展開していきます。これは、それぞれの既存顧客に対して、相手方のソリューションを評価、支援、サポートなどを提供していくプログラムです。実際に先日のクラウドエキスポでは、クオリティソフトさんのブース内に一部ウォッチガードの製品も展示をさせていただきました。これからも共同展開を続けていきます。

久保氏
今回のマイナンバー制度は個人情報保護法と違って、従来セキュリティ強化を求められていなかった企業も対象となってきます。特にそういった方々には、セキュリティに100%はないということを、まず認識していただきたいと思います。そして、次の二つのポイントに気をつけてください。ひとつは「ホールセキュリティ」です。

ホールセキュリティとは、ひとつの製品で複数のセキュリティ対策を実装できるものです。ウォッチガードさんのゲートウェイUTMもそうですし、クオリティソフトの資産管理ツールやQGGもそうです。ひとつの製品で複数のセキュリティガイドラインに対応できるものをお選びいただきたい。

二つ目は、運用が一番大事であるということです。機能がたくさんあってもそれを運用できないようであれば、宝の持ち腐れになってしまいます。そのためには、できる限り自動化された運用ができるもの、あるいはそこをアウトソーシングできるような体制を持ったメーカーとおつきあいをいただきたいと思います。多層防御をしっかり運用できていれば、安心してマイナンバー制度の導入を迎えることができると思います。

根岸氏
マイナンバー制度の開始によって、自社のセキュリティへの取り組みをアピールできる時代になると思います。これまでセキュリティ対策が前面に出ることはありませんでしたが、マイナンバー制度が始まることで、ユーザの企業の見方が「この企業に預けて大丈夫か」を気にするようになります。企業側も、「これは個人情報ではない」なんてことはいえなくなるわけですし、厳しいペナルティもあります。セキュリティ対策が企業の差別化ポイントのひとつになっていくことは間違いないでしょう。

ーーありがとうございました。

《吉澤 亨史》

関連リンク