ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
情報セキュリティ強化は、あらゆる企業・組織にとって重要な課題だ。これを実感する1つの契機になったのが、マイナンバー導入に伴う自治体の取り組みだったのは記憶に新しい。現在、その中で培われた技術やノウハウを生かした情報システム再構築の取り組みが、民間企業でも加速しつつある。
日本に居住するすべての人に12桁の個人番号を割り当て、社会保障、税、災害対策といったさまざまな分野で活用するのを目的とするマイナンバー制度。2016年1月には行政手続きでの利用がスタート、2017年7月からは情報連携(異なる行政機関の間で情報をやり取りすること)の試行運用が始まっている。
氏名、住所はもちろん、所得や社会保険加入状況といった国民のさまざまな情報がひも付けられるマイナンバーは、守られるべき個人情報の中でも最たるものといえる存在だ。導入に先駆け、総務省では、運用を行う地方公共団体の情報セキュリティの抜本的な強化対策を目的とした自治体情報セキュリティ対策検討チームを発足し、検討を重ねた。そして2016年3月、自治体情報システムの強靱(きょうじん)性向上と自治体情報セキュリティクラウド構築を目的とする、総額236億円に上る補助金の交付を行った。
このうち、システム強靭性向上は「ネットワークの分離」を主軸とする。具体的にはマイナンバーを扱う系統と、インターネットに接続する系統を切り分ける。それによってマイナンバー系統の情報漏えいのリスクを低下させるわけだ。また、自治体情報セキュリティクラウドは、複雑化する各自治体のシステムを都道府県単位で集約し、一元的な対策を実現するのを目的とする。
補助金による各自治体の強化策
マイナンバーの活用が本格化を迎えつつある現在、補助金によって各自治体はどのようなセキュリティ強化策を講じたのだろうか。まず、ネットワーク分離については「仮想化」技術を導入するケースが目立つ。これは、1台のハードウエアを論理的に分割して運用するもので、端末にデータを残さない仮想デスクトップ環境でインターネット接続し、サイバー攻撃やマルウエア感染から切り離されているマイナンバー系のシステムを防御する。
物理的に複数の端末を使い分ける方法もあるが、管理の負担や設置スペースの増加、使い分けによる業務効率低下といったデメリットもあり、導入例は少ないようだ。仮想化ソフト大手のVMwareは、47都道府県のうち、34の自治体が仮想化環境でのインターネット分離を採用したと発表している。
一方、セキュリティクラウド導入の背景には、これまで各自治体が独自に取り組んできた対策に限界があることが挙げられる。税金を主な財源として運営される自治体の財政状況は総じて厳しい。予算や人材の確保が難しいのが現実だ。
そこで、さまざまなリスクの発生原因となるインターネット接続口を都道府県単位に集約し、対策機器の導入や監視を一元的に行うことにしたのである。各都道府県では2016年度に、急きょ構築、運用を担う企業を公募した。選定された企業は、それぞれの自治体がめざす安全なインターネット環境の構築、運用に向けた取り組みを進めている。
今後は自治体レベルのセキュリティが民間にも幅広く展開
マイナンバー導入に伴う一連のシステム構築は、その重要性とスケールの大きさからさまざまな産業、とりわけIT業界に「マイナンバー特需」とも呼ばれる活況をもたらした。その一方で、企業が今後考えるべきセキュリティ対策を浮き彫りにした。中でも深刻なのが高度化、巧妙化するサイバー攻撃への対応である。
サイバー攻撃には、一度に大量のアクセスを集中させるDDoS攻撃、不正アクセスデータ改ざんなど、システムの停止もしくは破壊を狙う攻撃、ターゲットに気付かれることなく長期間侵入し、目的のデータをひそかに盗み出す攻撃などさまざまな種類があり、それらをすべて防ぐのは非常に難しくなりつつある。
現在のところ、マイナンバーの大規模な流出事件はそれほど発生していないが、今後、情報連携で多くの組織がマイナンバーを利用するようになった場合、完全に防げるかどうかは不安な部分もある。
被害が発生してから対策を講じるのでは意味がない。自治体のセキュリティ強化を担う受託企業は、常に最新の脅威情報を把握するとともに、万一攻撃を受けても被害を最小限に食い止めるための技術開発を継続的に行っている。これらの技術は自治体に限らず、セキュリティレベル向上の有効な手段として民間企業にも展開されていくことだろう。
執筆=林 達哉
【MT】