マイナンバ ( 特定個人情報 ) の漏えいを防ぐセキュリティ対策強化ソリューションのご紹介 トレンドマイクロ株式会社フィールドマーケティング部エンタープライズマーケティング課プロダクトマーケティングマネージャー松橋孝志 1
企業におけるマイナンバーの流れ 2
マイナンバ の重要性 マイナンバーを含む特定個人情報 - 一度発行された個人番号は自由に変更できない * - 今後 医療情報や預金情報といったものと連携する予定があり より個人のセンシティブな情報と強く紐づいていく - 罰則も厳格化され 漏えいなどあった場合 社会的な信用度低下の リスクも考えられる - 委託先に対しても委託元の企業に監督責任があり 漏えい時の責任が発生する * マイナンバーが漏えいして不正に用いられるおそれがあると認められる場合に限り 本人の申請又は市町村長の職権により変更することが可能 3
海外における社会保障番号に関連した被害事例 社会保障番号漏えい事件と悪用事例 時期国業種攻撃手法被害内容被害規模 2015 年 2 月 米国 医療保険サービス 外部からの不正アクセスによ る窃取 2014 年 12 月 米国 映画製作 配給 外部からの不正アクセスによ る窃取 2014 年 1 月 韓国 クレジットカード複 数社 内部犯行による情報の不正持ち出し 加入者の氏名 生年月日 加入者 ID 社会保障番号 住所 電話番号 電子メールアドレス 勤務先情報が漏えい 従業員 退職者の氏名 住所 社会保障番号 運転免許番号 パスポート番号 社用クレジットカード情報など漏えい 住民登録番号 ( 国民 ID) や金融機関の口座番号を含む顧客の個人情報の漏えい 約 8,000 万件 約 15,000 件 約 2,000 万件 時期国事件内容 2015 年 2 月米国盗んだ ID で税申告ソフトを通じて 大量な不正な税申告をオンラインで行い 還付金を得ようとする事件が発生 2014 年 9 月 米国 30 年に渡って他人のSSNを利用し 米国にて生活していた不法移民の男に対して 2 年 5か月の実刑判決が言い渡 された 2011 年 米国 ある女性がSSNを悪用され続け 高校卒業の時点でクレジットカードとローン口座を42 件作成され 150 万ドルの借 金をされていた 4
企業に求められる 安全管理措置 安全管理措置 組織的安全管理措置 概要 組織的な体制構築 取扱い規定に基づく運用 情報漏えい等事案に対応する体制整備 人的安全管理措置 事務取扱担当者及び全社的な教育 管理強化 物理的安全管理措置 管理体制の物理セキュリティ強化取扱区域の管理 機器及び電子媒体の盗難防止 技術的安全管理措置 (* 次頁詳細 ) アクセス制御 認証 外部からの不正アクセス等防止情報漏えい等の防止 5
内部から 外部からの情報漏えいリスク 内部要因 外部要因 6
2015/7/21 7
内部犯行による情報漏えい クラウド人事給与システム 個人用スマートフォン オンプレミス人事給与システム 各種サーバ Web ゲートウェイ メールサーバ Web サイト 個人用タブレット リムーバブルメディア 人事担当者 PC 一般従業員端末 利便性を損なわずに危険の芽を摘むことが重要! 8
Trend Micro 情報漏えい対策オプション ( ウイルスバスターコーポレートエディションのオプション製品 ) マイナンバ 法の対応として企業における特定個人情報の漏えい対策強化が重要です Trend Micro 情報漏えい対策オプションは マイナンバ テンプレートを使って 特定個人情報漏えい対策を強化できます 9
情報漏えい対策オプション 4 つのポイント 情報漏えいリスクが高い USB デバイスの利用をコントロール 除外設定により 業務効率を落とさず社内ルールの徹底を実現 機密情報や個人情報の漏えいを防止 データの中身を検査し 必要に応じて送信 / コピーをブロック リアルタイムに違反行為を通知 ポップアップ機能により従業員のコンプライアンス意識向上に効果 ウイルスバスター Corp. サーバに情報漏えい対策機能を追加 / 拡張 新たな情報漏えい対策用の管理サーバ設置は不要 10
2015/7/21 11
外部からのサイバー攻撃による情報漏えい クラウド人事給与システム 個人用スマートフォン オンプレミス人事給与システム 各種サーバ Web ゲートウェイ メールサーバ Web サイト 個人用タブレット リムーバブルメディア 人事担当者 PC 一般従業員端末 12
標的型サイバー攻撃 とは? 標的型サイバー攻撃の攻撃段階 1 事前準備攻撃先決定 偵察 初期潜入用不正プログラム準備 C&C サーバ準備 2 初期潜入標的型メール送信 受信者による添付不正プログラム実行 侵入時 3 端末制御 C&C 通信による遠隔操作の確立 感染環境確認 活動 4 情報探索内部活動ツール送出 LAN 内情報探索 5 情報集約有益情報の収集 6 情報送出収集情報の入手 内部活動 13
今実際に起こっているサーバへの攻撃とは? 攻撃のステップと特徴 1. サーバの調査 2. サーバに対する攻撃 3. サーバの情報の収集 侵入攻撃情報の収集 攻撃者は利用できる脆弱性を調査 攻撃者はネットワークに侵入し 対象とする情報を入手するまで執拗に攻撃を続ける 攻撃者がコンピュータに接続し続けると データは無限に引き出せる 公開サーバ Web アプリケーションの脆弱性を攻撃 HTTP(S) 経由で情報を送信 AD,FTP,DB 調査 14 Active Directory, FTP サーバデータベースを攻撃し権限を奪取
トレンドマイクロが推奨するサーバ向けセキュリティ対策ソリューション Trend Micro Deep Security OS やアプリケーションの脆弱性を保護 DoS 攻撃など不正な通信を防御 IPS/IDS Web アプリケーション保護 ファイアウォール ウイルス対策 SQL インジェクション等の攻撃から Web アプリを保護 リアルタイムにウイルスを検索 OS やミドルウェアのセキュリティイベントを集中監視 セキュリティログ監視 変更監視 ファイルやレジストリ等の変更を監視 物理サーバ仮想サーバクラウド上のサーバデスクトップの仮想化 15
外部からの標的型攻撃による内部活動を可視化する Trend Micro Deep Discovery Inspector 可視化 出口対策 入口対策 Active Directory サーバ 内部対策 16 クライアント
動的解析 : カスタム サンドボックス 日本語 OS を含むマルチランゲージ OS や 一太郎などの 日本独自 の環境をサポート 17
ウイルスバスター Corp. との連携と自動化 上記の連携機能をご利用いただくためには Deep Discovery Inspector 3.8(2015 年 7 月提供予定 ) ウイルスバスターコーポレートエディション 11.0 SP1(2015 年 8 月提供予定 ) Trend Micro Control Manager 6.0 SP3(2015 年 10 月提供予定 ) が必要です 18
企業の特定個人情報漏えいを防ぐソリューション 内部対策 外部対策 デバイスコントロールによる接続制御特定個人情報を含むファイルのコピーを検知 / ブロック 特定個人情報の適切な取扱いに関するガイドライン 技術的安全管理措置 - 情報漏えい等の防止 総合サーバセキュリティ対策 OS やアプリケーションの脆弱性対策と変更監視 / ログ監視 内部通信の可視化 / 未知の不正プログラムを検出 特定個人情報の適切な取扱いに関するガイドライン 技術的安全管理措置 - 外部からの不正アクセス等の防止 19
法人における対策の着眼ポイントは? 侵入は必ず起きる 内部犯行は必ず起きるという前提での対策を 法人での対策強化ポイント5 項目 1 重要な情報資産の明確化と定期的な棚卸 2 外部専門家の活用を通じた対応能力の強化 3 社員教育によるリテラシー 抑止力向上 4 クライアント & サーバでの総合的な対策の導入 5 不審な挙動 通信を早期に特定 対処 20
マイナンバー対応に向けて ~ まとめ ~ 業務 システムの対応 マイナンバーに対応のための業務体制 システムの構築 ガイドラインに則った収集 管理 廃棄の運用の実施 セキュリティ 社内外の脅威に対する対策 社内の情報セキュリティルールの制定 社内の情報資産の分類 棚卸の実施 社内教育 注意喚起 マイナンバーの教育 情報セキュリティの教育 脅威発生時のタイムリーな注意喚起 21
ご清聴ありがとうございました 22