2015年3月23日8:30

マイナンバー制度でのセキュリティの重要性について解説
DB暗号化、トークン化、鍵管理でセキュリティを強化

ジェムアルト傘下の日本セーフネット(SafeNet)は、「マイナンバー社会保障・税番号制度」における情報漏えい対策として、システム実装要件となった、データ暗号化による情報漏えい対策について、報道関係者向け説明会を開催した。

SafeNetは政府機関での採用も豊富

SafeNetは、1983年に設立。認証、暗号化に特化した会社で、世界100カ国、2万5,000社以上の導入実績がある。「日本政府における電子認証基盤の暗号化技術においては90%以上で採用されています」(日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 亀田治伸氏)。マイナンバー制度における、情報提供ネットワークシステム(コアシステム)や中間サーバー・プラットフォーム(仮称)の運用でのSafeNetの採用実績については非公表としている。

マイナンバーシステムにおけるセキュリティのポイントとして、運用においては、企業が負う責任が重たくなるという。個人情報保護法、プライバシーマーク以上の義務が発生しており、また、仮に情報漏洩が起きた際は、個人情報保護法よりも重たい刑事罰が設定されるそうだ。亀田氏は、「厳しいセキュリティの運用を民間企業に求められるとなると、アウトソースサービスの活用が本格化するという予測が立っています」と話す。すでに複数のSIerなどが、民間企業のマイナンバーの運用をアウトソースサービスで行うという発表を行っているが、「今後もこの流れは加速する」と同社ではみている。

日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 亀田治伸氏
日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 亀田治伸氏

マイナンバー制度におけるセキュリティの重要性として、データの暗号化処理自体はフリーのツールもあり、アルゴリズムも公開されているため簡単に行えるが、その鍵を正しく運用することは暗号化の実装よりはセキュリティの難易度は高い。ソフトウエアもしくはハードウェアによる鍵管理を行うことが求められるが、電子政府のセキュリティポリシーが総務省から公開されている。明示的に“暗号化システムの鍵管理はハードウェアを使うこと”と記載されていることもあり、結果的にコアシステムおよび中間サーバーのーセキュリティはすべてハードウェアアプライアンスでのセキュリティで構成されている。

現在、日本で利用されている暗号化はほぼ公開アルゴリズムで構成されている。利用している暗号アルゴリズムの強度が保証されていても、暗号処理は暗号を解読するための鍵は一カ所に集中する。そのため、暗号鍵にアクセスされ、データが解読されてしまえば情報が漏洩する可能性があることから、SafeNetでは、「ハードウェアセキュリティモジュール(HSM)」による鍵管理を推奨している。

マイナンバー対応に向けPCI DSS準拠を目指す企業も増加

SafeNetのHSMである「DataSecure」は、暗号化処理、セキュリティポリシーおよび暗号鍵管理を、すべて1つのプラットフォーム(FIPS検証済みハードウェアまたは強化された仮想セキュリティ アプライアンス)で集中管理可能だ。同社では、カラム単位でデータベースの暗号化が可能な「protect DB」、機密データを「Data Secure」で暗号化し、それに対して乱数で生成されたトークンを発行することで機密情報を守る「Tokenization Manager」に、鍵管理を加えたソリューションを提供している。トークナイゼーションについては、国際ブランドのVisa等も推奨しており、マイナンバー制度における「リンクコード(符号)」も同様の仕組みを採用している。すでに大手クレジットカード会社、人事系のアウトソースを行う企業等で採用されているそうだ。

DB暗号化&トークナイゼーション&鍵管理
DB暗号化&トークナイゼーション&鍵管理

また、銀行や省庁などの複数データセンター間の広域イーサネット暗号化として「Ethernet Encryptor」、ストレージのシェア/ボリューム単位の暗号化が可能な「「StorageSecure」と、「KeySecure」を組み合わせたソリューションも提供。クレジットカード会社には、クラウド上や仮想OS上で、高度なデータ保護やアクセス制御を提供できる暗号化ソリューション、「ProtectV」を提供しているという。

なお、亀田氏によると、大手企業からシステムを受注している企業にとって、「マイナンバーに関しては、どの規格に沿ってセキュリティを強化したらいいかというコンセンサスが定まっていません。一般に広く普及している規格で暗号化を採用しているのはPCI DSSですが、クレジットと関係のない業界からも(準拠の)相談を受けています」と説明した。

eToken7300による持ち運びデータの暗号化も紹介
eToken7300による持ち運びデータの暗号化も紹介

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP