日本年金機構の情報漏洩から学ぶ セキュリティ | 東京IT新聞

日本年金機構の情報漏洩から学ぶ セキュリティ

コンシューマー セキュリティ

 昨今の企業における情報管理は、非常に高度なセキュリティを求められる。とくに2016年は政府の推進する「マイナンバー制度」が導入された。このマイナンバー制度に関わる個人情報は、通常の個人情報よりもより厳重な管理が求められる「特定個人情報」にあたる。

 東京・御茶ノ水のソラシティカンファレンスで開催された「今求められる無線LAN構築セミナー」では、日本ヒューレット・パッカードの下野慶太氏が、日本年金機構の情報漏洩の例を引きながら、無線LANにおけるセキュリティについてレクチャーした。

■必要なのは安全性と利便性の両立

 まず、下野氏は「Aruba」と同社の提供する無線LANソリューションについて説明。Arubaはもともと企業向け無線LAN機器で世界第2位のシェアをもつネットワークベンダーであり、2015年にヒューレット・パッカードによって買収された企業。高度なセキュリティを要求される米政府も顧客としており、豊富な実績をもっていたこと。2月初旬に開催されたアメリカンフットボールの祭典「スーパーボウル」においても、会場の無線LAN構築を提供し、短時間で27,000人のアクセス、10TBという世界記録のデータ量を処理したことなどを紹介した。

 さて、本題のセキュリティに関してだが、下野氏は、「セキュリティというと、多くの人が“利便性”と“安全性”のどちらかに偏りがち」と現状を語る。「しかし、最新テクノロジーでは、この両方は両立するんです」と、安全性が高く、かつ使い勝手のいい無線LANは、構築可能だと力説する。

 実は昨年起こった日本年金機構の情報漏洩事件も、安全性はそれなりに高かったものの、利便性が良くなったために起きたと同氏は解説する。「この事件は、アクセス権限の高い人物が、本来触るはずのない汚染されていた端末を操作したことで情報が漏洩したが、その汚染された端末を使わざるを得なかった『利便性の悪さ』が原因」という。

 そして「もし安全性を担保した上で利便性の高いシステムを構築していたならば、情報漏洩は起きなかった」と断言する。そのための具体策としては、「ファイヤーウォールを利用したアクセス制御をきちんとしていれば、(情報漏洩させた)アクセス権限の高い人が汚染された端末を触ることなく(安全な)自分の端末で操作を行えたはずだ」と、この情報漏洩には、安全性と利便性の両立したシステムが必要だったことを説明した。

■多層防御と内部のアクセス制御の重要性

 さらに下野氏は、最近のセキュリティを脅かすハッカーの傾向に言及。「最近のハッカーは、この年金機構の事例のように、外部からセキュリティの高い重要な端末や情報を直接攻撃しない。むしろ“社内から社内”への穴を狙ってトラップを仕掛ける」のだという。

 だからこそ、「むしろ重要なデータは外部からの直接的な攻撃よりも、“中から”のアクセス制限を強化したシステムを構築するべきだ」と提言する。

 無線LAN機器というのは非常に多くの情報をログとして残すことが可能。下野氏は無線LANの管理画面を示しつつ、「今は、無線LAN内の特定の端末がどこにアクセスしているのかの分析はもちろん、その制御までも可能」なのだという。たとえばYouTubeにアクセスしていることが多い端末がわかるだけではなく、業務中に見るのを制限することもできるそうだ。こうやってどの端末がどこにアクセスしてどんなことをしているのかを分析することで、「セキュアなセキュリティ環境が構築できる」と下野氏は解説する。

 そしてこれからのセキュリティポリシーとして、「適合型防御」が有効だという。「適合型防御」とは、無線LAN機器で集めた情報とその他のネットワーク機器、たとえばファイヤーウォール機器などと連携して外部からの脅威に対抗していくというポリシーだ。

 「無線LAN機器は、端末や利用者のプロフィールを集めるのが得意、いっぽうファイヤーウォール機器はどこにアクセスしたか、そして不正サイトのデータベースをもつのが得意。こういった得意分野を連携させて、『ネットワーク全体を多層防御する』というポリシーでネットワークを構築していくべき」として下野氏はセミナーを結んだ。

 今や企業内でもPCだけではなく、スマートフォン、タブレットなど、LANを利用する端末がかつてないほど多くなった。これらはそれぞれ脅威の入口になる可能性を秘めている。巧妙な手口、さらには“入口”の増加、こういったことに多層的に防御していくことが必要だと言えそうだ。

日本年金機構の情報漏洩から学ぶ安全性と利便性の両立、そして“多層的な”防御

《関口賢/H14》

編集部のおすすめ

特集

page top