1. 何をすべきか把握する特定個人情報の適正な取扱いに関するガイドライン事業者編に沿った管理と運用が求められます業務上個人情報を取り扱う部分の明確化担当者の教育データの管理手法と各リスクへの対策が盛り込まれた内容となっていますこのホワイトペーパーでマイナンバー対策の大枠と対応すべき

Security Empowers Business 今からはじめるマイナンバー対策ガイドラインから紐解き見える分かる間に合う安全管理措置ブルーコートシステムズ

1. 何をすべきか把握する特定個人情報の適正な取扱いに関するガイドライン事業者編に沿った管理と運用が求められます業務上個人情報を取り扱う部分の明確化担当者の教育データの管理手法と各リスクへの対策が盛り込まれた内容となっていますこのホワイトペーパーでマイナンバー対策の大枠と対応すべき内容を整理してみましょう基本方針関係法令遵守窓口の設置安全管理措置取扱規程組織的安全管理措置情報処理の責任者の任命ライフサイクル管理事故対応ログ管理人的安全管理措置事務担当の教育監督物理的安全管理措置入室管理技術的安全管理措置認証アクセス持ち込み管理盗難対策管理外部からの不正アクセス対策情報漏えい防止ガイドラインに沿ってまずは対処が必要な範囲を整理してみましょう番号法では事業者に対して以下の点について準拠するよう求めています個人番号を社員番号として流用 DBでの検索や社内で活用される番号としての利用することはできませんし管理を従来通り外部に完全に委託してしまうケースは委託先に対する安全管理措置の監督が必要になりますまた個人番号収集にあたっての手法に気をつけねばなりません特定個人情報の利用制限特定個人情報の安全管理措置等特定個人情報の提供制限等 2 社会保障などの領域に利用を制限 9条必要用途以外での特定個人情報ファイル作成の禁止 28条個人番号について安全管理措置を講ずる 12条委託者の委託先に対する監督義務 11条他人に個人番号の提供を不当に求めてはいけない 15条提供を受ける場合は本人確認を義務付ける 16条今からはじめるマイナンバー対策

ガイドラインにおけるしなければならない 15 箇条 ( ガイドラインからの抜粋 ) 1. 2. 3. 52 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. ガイドラインにおけるしてはならない 12 箇条 ( ガイドラインからの抜粋 ) 1. 2. 3. 4. 20 5. 6. 7. 19 8. 19 9. 10. 11. 12. 書いてある内容がよく分からない表現を簡略化したものは次ページへ 3

ガイドラインにおけるしなければならない 15 箇条 ( 表現の簡略化版 ) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. ガイドラインにおけるしてはならない 12 箇条 ( 表現の簡略化版 ) 1. 2. 3. 4. 5. 6. 7. 19 8. 19 9. 10. 11. 12. 4

2. 情報漏えい対策特定個人情報管理区域の整備アクセス記録監査アクセス記録監査不正アクセス対策インターネット不正アクセス対策アクセス記録監査盗難防止不正アクセス対策入退室管理アクセス記録監査アクセス記録監査アクセス制御物理コンソールサーバルームラックサーバファイル作成保管破棄漏えい防止バックアップ盗難防止収集本人確認情報提供者物理的安全管理措置特定個人情報取扱区域の管理 ( 入退室持ち込み制限等 ) 特定個人情報を含む機器などの盗難防止特定個人情報持ち出し時の漏えい防止特定個人情報の破棄方法技術的安全管理措置事務取扱担当者のアクセス制御事務取扱担当者の識別と認証外部からの不正アクセス対策インターネット経由の転送時の特定個人情報保護人的安全管理措置事務担当事務担当事務担当の教育監督基本方針の策定ユーザ認証持ち込み禁止責任者関係法令遵守苦情受付窓口の設置安全管理措置取扱規程の策定収集の事務フロー本人確認の手段個人番号を含むファイル作成保管方法破棄方法組織的安全管理措置安全管理措置のための組織づくり取扱規程に基づく運用の記録と監査情報漏えい時の体制整備 5

3. 具体的な対策への落し込みガイドラインではそれぞれの対策について例示を記載することで具体的な対処イメージを事業者側に示しています中小企業に対しては中小規模事業者における対応方法が明記されており管理措置によっては事業規模に応じた適切な対処が記載されていますただし例示が全てではありません企業に応じた適切な対応をお願いします各対策における例示の確認講ずべき対策例示中小規模事業者への例示取扱規程の策定担当者の個人番号取扱方法責任範囲の定義情報のライフサイクル管理特定個人情報取扱明確化など組織的安全管理措置 a 責任者アサインと責任明確化事務取扱担当者アサインと責任者と事務取扱担当者の区分 b 特定個人情報ファイル利用記録削除証明担当者の取扱状況の分かる記録の保存基本方針の策定定める項目として事業者の名称関係法令ガイドラインの遵守左と同等安全管理措置に関する事項窓口責任明確化連絡体制漏えい時の報告体制職務分掌ログイン記録 c 利用状況確認手段としてファイル名責任者部署利用目的取扱状況の分かる記録の保存削除状況アクセス権所有者 d 事実関係調査本人連絡委員会への報告再発防止策の情報漏えいに備えた連絡体制の確認検討と公表人的安全管理措置物理的安全管理措置技術的安全管理措置 e 取扱状況の点検監査責任者が定期的に取扱状況を点検担当者への定期的な研修就業規則への盛り込み左と同等 a 持ち込み機器制限入退室管理システム導入取扱区域での左と同等間仕切り等 b 特定個人情報を含む機器書類などを安全な場所に保管固定左と同等 c データ暗号化パスワード保護など左と同等 d 書類破棄時は焼却物理的破壊保存期間後の破棄方法確立削除破棄したことを責任者が確認 a IDに基づきアクセスできる範囲の制限特定個人情報取扱機器の特定とその担当者を限定ユーザアカウントによる限定 b 本人識別としてユーザID パスワード ICカード特定個人情報取扱機器の特定とその担当者を限定ユーザアカウントによる限定 c ファイアウォールによる外部ネットワークとの制御ウイルス左と同様 d 通信経路暗号化データ暗号化左と同様対策ソフトウェア導入パッチ適用ログの定期的分析 6 今からはじめるマイナンバー対策

4. 2014 マルウェア不正サイト攻撃サーバ会社非公認のクラウドサービス漏えいマルウェア SSL 情報漏えい悪意あるサイトの増加 6.6 70 24 24% が C&C/ マルウェア配布スパムをばらまくなどの悪意あるサーバこれらは従来なブラックリスト ( 静的フィルタリング ) では防御できません漏えい SSL 境界線セキュリティ SSL 既存の境界線では防げないリスクが存在標的型メールの増加 IPA2014 例示に記載のあるレベルのセキュリティでは検知できませんトリガー : 標的型メール不正サイトサクセス特定個人情報トリガー : 業務効率向上内部不正見えない通信の増加外向けの通信の 30 ~ 50% が SSL で暗号化既存の境界線セキュリティでは検査できません最新型マルウェアフィッシング標的型攻撃内部不正ゼロデイ c c d c c a~d b c SSL d SSL SSL 7

5.? 標的型攻撃 ( フィッシングサイトフィッシングメール ) 攻撃者外部ポータル? ( 感染サイトかも?) 標的型攻撃 SQLインジェクション脆弱性 ( ゼロデイ ) 暗号化技術的安全管理措置 1 SSL 可視化 2 ウェブプロキシ & メールフィルタ 3 ハイブリッドサンドボックス A リアルタイム脅威情報 Web/App AV/AS データベース人事経理管理者ファイルサーバライフサイクル管理認証アクセス管理不正アクセス持ち出し 4 フォレンジック ( ネットワークおよびエンドポイント ) 取扱規程組織的安全管理措置監督教育基本方針人的安全管理措置物理的安全管理措置責任者ログ管理盗難対策持ち込み検査 STEP for ALL リアルタイム脅威情報によるフィードバック STEP 1 不正なサイトへの SSL 通信可視化 STEP 2 ウェブとメールのリアルタイム分析 STEP 3 未知のマルウェアのふるまい分析 STEP 4 不正なトラフィックのフォレンジック分析最新型マルウェアフィッシング標的型攻撃内部不正ゼロデイ c c d c c a~d b c MAA ProxySG/MTD ProxySG/MTD/MAA SSLVA/SA GIN SSL d SSLVA VM URL SSL SSL 8

6. 今求められる次のセキュリティを実現する製品 Step 1 怪しいSSL通信の可視化ホストカテゴリに基づき怪しい通信先へのSSLだけを復号 250Mから10Gまで幅広いSSLパフォーマンスの対応既存のセキュリティ製品を活かすためのセキュリティ対策 SSL Visibility Appliance Step 2 ウェブメール脅威フィルタ脅威の侵入経路であるウェブとメールに対するリアルタイム性の高いURL/コンテンツフィルタリングゼロデイリスクレベルの高いサイトコンテンツの自動ブロック ProxySG & Mail Threat Defense* *Mail Threat Defense MTD は2015年秋発売予定 Step 3 ネットワーク監視カメラ番号を取り扱うセグメントの監視カメラファイルアクセス SQLクエリなどの挙動に対する証拠確保傾向分析事件となる兆候のアラートと逸早い対処の提供 Security Analytics Step 4 マルウェアふるまい分析静的分析動的分析ふるまいに基づく怪しさの分析境界線から侵入する怪しいコンテンツだけでなく内部に知らぬ間に侵入した検体の自動分析 Malware Analysis Appliance 今からはじめるマイナンバー対策 9

7. 企業を最新の脅威から保護するインテリジェンスブルーコートの提供する脅威インテリジェンスはウェブ自動分析エンジンなど多数のAIにより動的案ウェブ環境に対する迅速なリスクの分析と対応を提供していますゼロデイや新規C&Cサーバ改ざんされたサイトなどの脅威から企業を保護するアーキテクチャを採用することで従来のフィルタリングにあるようなホワイトリストブラックリストといった静的な古い情報に依存しない今アクセスしたサイトに対するその時点での脅威レベルを判定します Webセキュリティサービス Cloud To GIN: 未知のURL 新規マルウェアのURL情報 From GIN: URLカテゴリ脅威URL アプリケーション情報ウェブプロキシ ProxySG サンドボックス MAA ふるまいパターンファイルハッシュなど From GIN: 脅威URL ファイル情報 To GIN: 新規マルウェアリスクスコアフォレンジック SA GIN: 新規マルウェア/ファイル情報 MAA To GIN: URLカテゴリ脅威URL From ファイル情報メール脅威フィルタ MTD GIN: 新規マルウェアファイル情報 To From GIN: 脅威URL ファイル情報 10 GLOBAL INTELLIGENCE NETWORK GIN: 未知のURL 新規マルウェアのURL情報 To From GIN: URLカテゴリ脅威URL アプリケーション情報コンテンツフィルタリング CAS GIN: 新規マルウェア/ファイル情報 MAA To GIN: ホワイトリストへの更新および From AVシグニチャ情報更新 SSL可視化 SSL VA From GIN: URLカテゴリ今からはじめるマイナンバー対策

8. URL URL リアルタイムの脅威分析 GIN リアルタイム脅威データベース! Proxy SG ウェブ脅威フィルタ Anti-Spam 脅威情報のフィードバック CAS コンテンツフィルタ MTD メール脅威フィルタ BC Cloud クラウド型ウェブ / メールフィルタ MAA マルウェア分析ウェブメール SSL VA SSL 可視化 SA ネットワーク脅威可視化可視化事務担当者個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が正当な理由なく特定個人情報ファイルを提供上記の者が不正な利益を図る目的で個人番号を提供又は盗用情報提供ネットワークシステムの事務に従事する者又は従事していた者が情報提供ネットワークシステムに関する秘密を漏えい又は盗用 4 年以下の懲役若しくは 200 万円以下の罰金又は併科 ( 第 67 条 ) 3 年以下の懲役若しくは150 万円以下の罰金又は併科 ( 第 68 条 ) 同上 ( 第 69 条 ) 315070 210071 72 委員会から命令を受けた者が委員会の命令に違反 2 年以下の懲役又は50 万円以下の罰金 ( 第 73 条 ) 6 3056 委員会に対する虚偽の報告虚偽の資料提出 1 年以下の懲役又は50 万円以下の罰金 ( 第 74 条 ) 3057 検査拒否等偽りその他不正の手段により個人番号カード等を取得 6か月以下の懲役又は50 万円以下の罰金 ( 第 75 条 ) 11

Security Empowers Business ブルーコートシステムズ合同会社 www.bluecoat.co.jp 105-0021 東京都港区東新橋1-9-2 汐留住友ビル16階 Tel 03-6251-9111 代表 Fax 03-6251-9112 Mail japan.info@bluecoat.com ブルーコートのFacebookページができました https://www.facebook.com/bluecoat.japan Copyright 2015 Blue Coat Systems, Inc. All rights reserved. Blue Coat Blue Coatロゴおよびブルーコート製品に関連する名称とマークは Blue Coat Systems, Inc.の米国およびその他の国における商標または登録商標ですその他の社名および製品名は各社の商標または登録商標です仕様は予告なく変更する場合があります bcs_wp_mynumber_ja_v1a