ペンタセキュリティシステムズ(ペンタセキュリティ)は1月15日、「マイナンバーセキュリティ、暗号化さえすれば終わりか?」と題するコラムをブログで公開した。
コラムの冒頭では、国内で国民健康保険の加入者の個人情報が流出し、その一部が利用された事故について触れている。この事故は、名前、住所、生年月日、電話番号や保険証番号などの個人情報が漏洩した被害者が10万人を超えたとされている。健康保険証が悪用された場合、銀行の口座、クレジットカードの申請など金銭に関わる問題が起こる恐れがある。ペンタセキュリティでも「被害が相当になる」と予想している。
今回の流出は、「マイナンバー」制度の施行直前であり、個人情報管理に対する懸念の声が高まっている中で起きたもの。これにより、マイナンバー管理に対するセキュリティを懸念する声も高まっている。今回のコラムは、こうした声に答える格好で、マイナンバーのセキュリティを基本に立ち返り、セキュリティ製品の必要性を解説している。
結論から言えば、マイナンバーは、安全に管理されていないというのがペンタセキュリティの考えだ。そもそもマイナンバーを安全に管理するための情報セキュリティシステムの普及率が低い。システムの導入は、政府機関や多くの大手企業などでも導入を検討している段階で、システムを認知していない場合も多い。
暗号化システムの構築の有無によっても安全性が異なってくる。現在流通しているマイナンバー暗号化ソリューションは、単純な暗号化製品が多く、安全性を保証できないという。そのため、安全性の高い「統合型暗号化ソリューション」が必要だとしている。統合型暗号化ソリューションは、さまざまな暗号化アルゴリズムをサポート、一方向暗号化やカラム単位暗号化などを備える、暗号・復号化鍵に対する安全な管理および運営が可能、データの閲覧および操作に対するユーザーへのアクセス制御やセキュリティ監査が行えるなどの機能を搭載する。
統合型暗号化ソリューションには、暗号化機能のほかに、アクセス制御機能と監視機能も併せて必要となる。アクセス制御機能は、従業者が勝手に復号化して情報を盗み出すことを防止するための機能だ。マイナンバーへのアクセスは、従業者ごとに、レベルおよび権限、使用するアプリケーション、接続時間や場所、期間、日付などを設定しなければならない。
監視機能は、万一盗難が発生した場合、盗み出した犯人を見つけるために必要になる。マイナンバーの情報を誰が閲覧したかという情報だけでなく、データベースのテーブル名、カラム名などクエリーの類型なども犯人を探すための手掛かりとなる。
統合型暗号化ソリューションを選ぶ際は、利用する環境もポイントとなる。利用環境を考慮した設計になっていないと、導入してもセキュリティの効果を得られない恐れがある。ただし、マイナンバーの管理に特化した統合型暗号化ソリューションは、現状で「ほぼない」という。
ペンタセキュリティでは、現状のマイナンバーのセキュリティ環境を不安視している。セキュリティ製品のベンダーでさえ「この製品は、マイナンバー制度に対する理解がどれほど反映された製品ですか? 設計段階からマイナンバー暗号化のために設計された製品ですか?」といった質問に明確に回答できないケースが多いという。