2015年3月23日8:30マイナンバー制度でのセキュリティの重要性について解説 DB暗号化、トークン化、鍵管理でセキュリティを強化
ジェムアルト傘下の日本セーフネット(SafeNet)は、「マイナンバー社会保障・税番号制度」における情報漏えい対策として、システム実装要件となった、データ暗号化による情報漏えい対策について、報道関係者向け説明会を開催した。
SafeNetは政府機関での採用も豊富
SafeNetは、1983年に設立。認証、暗号化に特化した会社で、世界100カ国、2万5,000社以上の導入実績がある。「日本政府における電子認証基盤の暗号化技術においては90%以上で採用されています」(日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 亀田治伸氏)。マイナンバー制度における、情報提供ネットワークシステム(コアシステム)や中間サーバー・プラットフォーム(仮称)の運用でのSafeNetの採用実績については非公表としている。
マイナンバーシステムにおけるセキュリティのポイントとして、運用においては、企業が負う責任が重たくなるという。個人情報保護法、プライバシーマーク以上の義務が発生しており、また、仮に情報漏洩が起きた際は、個人情報保護法よりも重たい刑事罰が設定されるそうだ。亀田氏は、「厳しいセキュリティの運用を民間企業に求められるとなると、アウトソースサービスの活用が本格化するという予測が立っています」と話す。すでに複数のSIerなどが、民間企業のマイナンバーの運用をアウトソースサービスで行うという発表を行っているが、「今後もこの流れは加速する」と同社ではみている。
マイナンバー制度におけるセキュリティの重要性として、データの暗号化処理自体はフリーのツールもあり、アルゴリズムも公開されているため簡単に行えるが、その鍵を正しく運用することは暗号化の実装よりはセキュリティの難易度は高い。ソフトウエアもしくはハードウェアによる鍵管理を行うことが求められるが、電子政府のセキュリティポリシーが総務省から公開されている。明示的に“暗号化システムの鍵管理はハードウェアを使うこと”と記載されていることもあり、結果的にコアシステムおよび中間サーバーのーセキュリティはすべてハードウェアアプライアンスでのセキュリティで構成されている。
現在、日本で利用されている暗号化はほぼ公開アルゴリズムで構成されている。利用している暗号アルゴリズムの強度が保証されていても、暗号処理は暗号を解読するための鍵は一カ所に集中する。そのため、暗号鍵にアクセスされ、データが解読されてしまえば情報が漏洩する可能性があることから、SafeNetでは、「ハードウェアセキュリティモジュール(HSM)」による鍵管理を推奨している。
マイナンバー対応に向けPCI DSS準拠を目指す企業も増加
SafeNetのHSMである「DataSecure」は、暗号化処理、セキュリティポリシーおよび暗号鍵管理を、すべて1つのプラットフォーム(FIPS検証済みハードウェアまたは強化された仮想セキュリティ アプライアンス)で集中管理可能だ。同社では、カラム単位でデータベースの暗号化が可能な「protect DB」、機密データを「Data Secure」で暗号化し、それに対して乱数で生成されたトークンを発行することで機密情報を守る「Tokenization Manager」に、鍵管理を加えたソリューションを提供している。トークナイゼーションについては、国際ブランドのVisa等も推奨しており、マイナンバー制度における「リンクコード(符号)」も同様の仕組みを採用している。すでに大手クレジットカード会社、人事系のアウトソースを行う企業等で採用されているそうだ。
また、銀行や省庁などの複数データセンター間の広域イーサネット暗号化として「Ethernet Encryptor」、ストレージのシェア/ボリューム単位の暗号化が可能な「「StorageSecure」と、「KeySecure」を組み合わせたソリューションも提供。クレジットカード会社には、クラウド上や仮想OS上で、高度なデータ保護やアクセス制御を提供できる暗号化ソリューション、「ProtectV」を提供しているという。
なお、亀田氏によると、大手企業からシステムを受注している企業にとって、「マイナンバーに関しては、どの規格に沿ってセキュリティを強化したらいいかというコンセンサスが定まっていません。一般に広く普及している規格で暗号化を採用しているのはPCI DSSですが、クレジットと関係のない業界からも(準拠の)相談を受けています」と説明した。
