Security Empowers Business 今からはじめる マイナンバー対策 ガイドラインから紐解き 見える 分かる 間に合う 安全管理措置 ブルーコートシステムズ
1. 何をすべきか把握する 特定個人情報の適正な取扱いに関するガイドライン 事業者編 に沿った管理と運用が求められます 業務上 個人情報を取り扱う部分の明確化 担当者の教育 データの管理手法と各リスクへの対策が 盛り込まれた内容となっています このホワイトペーパーでマイナンバー対策の大枠と対応すべき 内容を整理してみましょう 基本方針 関係法令遵守 窓口の設置 安全管理措置 取扱規程 組織的 安全管理措置 情報処理の 責任者の任命 ライフサイクル 管理 事故対応 ログ管理 人的 安全管理措置 事務担当の 教育 監督 物理的 安全管理措置 入室管理 技術的 安全管理措置 認証 アクセス 持ち込み管理 盗難対策 管理 外部からの不正 アクセス対策 情報漏えい防止 ガイドラインに沿って まずは対処が必要な 範囲を整理して みましょう 番号法では事業者に対して以下の点について準拠するよう求めています 個人番号を社員番号として 流用 DBでの検索や社内で活用される番号としての利用 することはできませんし 管理を従来通り 外部に完全に委託してしまうケースは委託先に対する安全管理措置の監督が必要になります また個人番号収集にあたっての手法に気をつけねばなりません 特定個人情報の 利用制限 特定個人情報の 安全管理措置等 特定個人情報の 提供制限等 2 社会保障などの領域に利用を制限 9条 必要用途以外での特定個人情報ファイル作成の禁止 28条 個人番号について安全管理措置を講ずる 12条 委託者の委託先に対する監督義務 11条 他人に個人番号の提供を不当に求めてはいけない 15条 提供を受ける場合は本人確認を義務付ける 16条 今からはじめるマイナンバー対策
ガイドラインにおける しなければならない 15 箇条 ( ガイドラインからの抜粋 ) 1. 2. 3. 52 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. ガイドラインにおける してはならない 12 箇条 ( ガイドラインからの抜粋 ) 1. 2. 3. 4. 20 5. 6. 7. 19 8. 19 9. 10. 11. 12. 書いてある内容がよく分からない 表現を簡略化したものは次ページへ 3
ガイドラインにおける しなければならない 15 箇条 ( 表現の簡略化版 ) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. ガイドラインにおける してはならない 12 箇条 ( 表現の簡略化版 ) 1. 2. 3. 4. 5. 6. 7. 19 8. 19 9. 10. 11. 12. 4
2. 情報漏えい対策 特定個人情報 管理区域の整備 アクセス記録監査 アクセス記録監査 不正アクセス対策 インターネット 不正アクセス対策 アクセス記録監査 盗難防止 不正アクセス対策 入退室管理 アクセス記録監査 アクセス記録監査 アクセス制御 物理コンソール サーバルーム ラック サーバ ファイル作成 保管 破棄 漏えい防止 バックアップ 盗難防止 収集 本人確認 情報提供者 物理的安全管理措置 特定個人情報取扱区域の管理 ( 入退室 持ち込み制限等 ) 特定個人情報を含む機器などの盗難防止 特定個人情報持ち出し時の漏えい防止 特定個人情報の破棄方法 技術的安全管理措置 事務取扱担当者のアクセス制御 事務取扱担当者の識別と認証 外部からの不正アクセス対策 インターネット経由の転送時の特定個人情報保護 人的安全管理措置 事務担当 事務担当 事務担当の教育 監督 基本方針の策定 ユーザ認証 持ち込み禁止 責任者 関係法令遵守 苦情受付窓口の設置 安全管理措置 取扱規程の策定 収集の事務フロー 本人確認の手段 個人番号を含むファイル作成 保管方法 破棄方法 組織的安全管理措置 安全管理措置のための組織づくり 取扱規程に基づく運用の記録と監査 情報漏えい時の体制整備 5
3. 具体的な対策への落し込み ガイドラインではそれぞれの対策について 例示 を記載することで 具体的な対処イメージを 事業者側に示しています 中小企業に対しては 中小規模事業者における対応方法 が明記されており 管理措置によっては事業規模に応じた適切な対処が記載されています ただし 例示が全てでは ありません 企業に応じた 適切な対応を お願いします 各対策における 例示 の確認 講ずべき対策 例示 中小規模事業者への例示 取扱規程の策定 担当者の個人番号取扱方法 責任範囲の定義 情報のライフサイクル管理 特定個人情報取扱明確化など 組織的安全管理措置 a 責任者アサインと責任明確化 事務取扱担当者アサインと 責任者と事務取扱担当者の区分 b 特定個人情報ファイル利用記録 削除証明 担当者の 取扱状況の分かる記録の保存 基本方針の策定 定める項目として事業者の名称 関係法令 ガイドラインの遵守 左と同等 安全管理措置に関する事項 窓口 責任明確化 連絡体制 漏えい時の報告体制 職務分掌 ログイン記録 c 利用状況確認手段としてファイル名 責任者 部署 利用目的 取扱状況の分かる記録の保存 削除状況 アクセス権所有者 d 事実関係調査 本人連絡 委員会への報告 再発防止策の 情報漏えいに備えた連絡体制の確認 検討と公表 人的安全管理措置 物理的安全管理措置 技術的安全管理措置 e 取扱状況の点検 監査 責任者が定期的に取扱状況を点検 担当者への定期的な研修 就業規則への盛り込み 左と同等 a 持ち込み機器制限 入退室管理システム導入 取扱区域での 左と同等 間仕切り等 b 特定個人情報を含む機器 書類などを安全な場所に保管 固定 左と同等 c データ暗号化 パスワード保護など 左と同等 d 書類破棄時は焼却 物理的破壊 保存期間後の破棄方法確立 削除 破棄したことを責任者が確認 a IDに基づきアクセスできる範囲の制限 特定個人情報取扱機器の特定とその担当者を限定 ユーザアカウントによる限定 b 本人識別としてユーザID パスワード ICカード 特定個人情報取扱機器の特定とその担当者を限定 ユーザアカウントによる限定 c ファイアウォールによる外部ネットワークとの制御 ウイルス 左と同様 d 通信経路暗号化 データ暗号化 左と同様 対策ソフトウェア導入 パッチ適用 ログの定期的分析 6 今からはじめるマイナンバー対策
4. 2014 マルウェア 不正サイト攻撃サーバ 会社非公認のクラウドサービス 漏えい マルウェア SSL 情報漏えい 悪意あるサイトの増加 6.6 70 24 24% が C&C/ マルウェア配布 スパムをばらまくなどの悪意あるサーバ これらは従来なブラックリスト ( 静的フィルタリング ) では防御できません 漏えい SSL 境界線セキュリティ SSL 既存の境界線では防げないリスクが存在 標的型メールの増加 IPA2014 例示に記載のあるレベルのセキュリティでは検知できません トリガー : 標的型メール不正サイトサクセス 特定個人情報 トリガー : 業務効率向上内部不正 見えない通信の増加 外向けの通信の 30 ~ 50% が SSL で暗号化 既存の境界線セキュリティでは検査できません 最新型マルウェア フィッシング 標的型攻撃 内部不正 ゼロデイ c c d c c a~d b c SSL d SSL SSL 7
5.? 標的型攻撃 ( フィッシングサイト フィッシングメール ) 攻撃者 外部ポータル? ( 感染サイトかも?) 標的型攻撃 SQLインジェクション 脆弱性 ( ゼロデイ ) 暗号化 技術的安全管理措置 1 SSL 可視化 2 ウェブプロキシ & メールフィルタ 3 ハイブリッド サンドボックス A リアルタイム脅威情報 Web/App AV/AS データベース人事 経理 管理者ファイルサーバライフサイクル管理認証 アクセス管理 不正アクセス 持ち出し 4 フォレンジック ( ネットワークおよびエンドポイント ) 取扱規程 組織的安全管理措置 監督 教育 基本方針 人的安全管理措置 物理的安全管理措置 責任者 ログ管理盗難対策持ち込み検査 STEP for ALL リアルタイム脅威情報によるフィードバック STEP 1 不正なサイトへの SSL 通信可視化 STEP 2 ウェブとメールの リアルタイム分析 STEP 3 未知のマルウェアの ふるまい分析 STEP 4 不正なトラフィックの フォレンジック分析 最新型マルウェア フィッシング 標的型攻撃 内部不正 ゼロデイ c c d c c a~d b c MAA ProxySG/MTD ProxySG/MTD/MAA SSLVA/SA GIN SSL d SSLVA VM URL SSL SSL 8
6. 今求められる 次のセキュリティ を実現する製品 Step 1 怪しいSSL通信の可視化 ホストカテゴリに基づき怪しい通信先へのSSLだけを復号 250Mから10Gまで幅広いSSLパフォーマンスの対応 既存のセキュリティ製品を活かすためのセキュリティ対策 SSL Visibility Appliance Step 2 ウェブ メール脅威フィルタ 脅威の侵入経路であるウェブとメールに対する リアルタイム性の高いURL/コンテンツ フィルタリング ゼロデイ リスクレベルの高いサイト コンテンツの 自動ブロック ProxySG & Mail Threat Defense* *Mail Threat Defense MTD は2015年秋発売予定 Step 3 ネットワーク監視カメラ 番号を取り扱うセグメントの監視カメラ ファイルアクセス SQLクエリなどの挙動に対する 証拠確保 傾向分析 事件となる兆候のアラートと 逸早い対処の提供 Security Analytics Step 4 マルウェアふるまい分析 静的分析 動的分析 ふるまいに基づく怪しさの分析 境界線から侵入する怪しいコンテンツだけでなく 内部に知らぬ間に侵入した検体の自動分析 Malware Analysis Appliance 今からはじめるマイナンバー対策 9
7. 企業を最新の脅威から保護するインテリジェンス ブルーコートの提供する脅威インテリジェンスは ウェブ自動分析エンジンなど多数のAIにより 動的案ウェブ環境に対する迅速なリスクの分析と対応を提供しています ゼロデイや新規C&Cサーバ 改ざんされたサイトなどの脅威から企業を保護するアーキテクチャを採用することで 従来のフィルタリングにあるようなホワイトリスト ブラックリストといった静的な古い情報に 依存しない 今アクセスしたサイトに対するその時点での脅威レベルを判定します Webセキュリティサービス Cloud To GIN: 未知のURL 新規マルウェアのURL情報 From GIN: URLカテゴリ 脅威URL アプリケーション情報 ウェブプロキシ ProxySG サンドボックス MAA ふるまいパターン ファイルハッシュなど From GIN: 脅威URL ファイル情報 To GIN: 新規マルウェア リスクスコア フォレンジック SA GIN: 新規マルウェア/ファイル情報 MAA To GIN: URLカテゴリ 脅威URL From ファイル情報 メール脅威フィルタ MTD GIN: 新規マルウェア ファイル情報 To From GIN: 脅威URL ファイル情報 10 GLOBAL INTELLIGENCE NETWORK GIN: 未知のURL 新規マルウェアのURL情報 To From GIN: URLカテゴリ 脅威URL アプリケーション情報 コンテンツフィルタリング CAS GIN: 新規マルウェア/ファイル情報 MAA To GIN: ホワイトリストへの更新および From AVシグニチャ情報更新 SSL可視化 SSL VA From GIN: URLカテゴリ 今からはじめるマイナンバー対策
8. URL URL リアルタイムの脅威分析 GIN リアルタイム脅威データベース! Proxy SG ウェブ脅威フィルタ Anti-Spam 脅威情報のフィードバック CAS コンテンツフィルタ MTD メール脅威フィルタ BC Cloud クラウド型ウェブ / メールフィルタ MAA マルウェア分析 ウェブ メール SSL VA SSL 可視化 SA ネットワーク脅威可視化 可視化 事務担当者 個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が 正当な理由なく 特定個人情報ファイルを提供上記の者が 不正な利益を図る目的で 個人番号を提供又は盗用情報提供ネットワークシステムの事務に従事する者又は従事していた者が 情報提供ネットワークシステムに関する秘密を漏えい又は盗用 4 年以下の懲役若しくは 200 万円以下の罰金又は併科 ( 第 67 条 ) 3 年以下の懲役若しくは150 万円以下の罰金又は併科 ( 第 68 条 ) 同上 ( 第 69 条 ) 315070 210071 72 委員会から命令を受けた者が 委員会の命令に違反 2 年以下の懲役又は50 万円以下の罰金 ( 第 73 条 ) 6 3056 委員会に対する 虚偽の報告 虚偽の資料提出 1 年以下の懲役又は50 万円以下の罰金 ( 第 74 条 ) 3057 検査拒否等 偽りその他不正の手段により個人番号カード等を取得 6か月以下の懲役又は50 万円以下の罰金 ( 第 75 条 ) 11
Security Empowers Business ブルーコートシステムズ合同会社 www.bluecoat.co.jp 105-0021 東京都港区東新橋1-9-2 汐留住友ビル16階 Tel 03-6251-9111 代表 Fax 03-6251-9112 Mail japan.info@bluecoat.com ブルーコートのFacebookページができました https://www.facebook.com/bluecoat.japan Copyright 2015 Blue Coat Systems, Inc. All rights reserved. Blue Coat Blue Coatロゴ およびブルーコート製品に関連する名称とマークは Blue Coat Systems, Inc.の 米国およびその他の国における商標または登録商標です その他の社名および製品名は 各社の商標または登録商標です 仕様は予告なく変更する場合があります bcs_wp_mynumber_ja_v1a