マイナンバー制度施行で重要度を増す

「統合脅威管理（UTM）」キホンと勘所

〜社内外に潜む脅威から会社とマイナンバーを守るために 〜

マイナンバーのセキュリティ対策にお悩みの方、必見！

早わかり！

C o n t e n t s

目次

１.厳しい罰則のマイナンバー 脅威を増すサイバー攻撃

２.マイナンバー制度施行で重要度を増す「UTM」とは

３.UTMの押さえておくべき勘所！

４.ファイアウォールとUTMの違い

5. 社内外のリスクから会社とマイナンバーを守る！

「Cloud Edge あんしんプラス」とは

会社概要

TM

2

1 厳しい罰則のマイナンバー！脅威を増すサイバー攻撃

3

●マイナンバーの保護対策としてのセキュリティとは？

マイナンバー制度で、企業規模や業種を問わず、従業員などのマイナンバーを取り扱うことが義務付けられました。

マイナンバーを含む特定個人情報は名寄せなどが行われるリスクがあることから、個人情報よりも一段上の厳しい管理体制が求められ、情報漏えいに対する罰則が強化されています。たとえば、もっとも重い罰則は「4年以下の懲役または200万円以下の罰金」もしくはその両方を科せられます。収集から保管・利用・提供・破棄に至るまで、徹底した厳格な管理は必須です。

企業におけるマイナンバーの管理方法は、ガイドラインに定められていますが、ガイドライン自体も例示が全てではなく、環境に応じて必要な対策を講じるように促しています。つまり、企業は現在のセキュリティ上のリスクと照らし合わせて、独自に十分な対策を考慮し、マイナンバーを守っていかなければなりません。

しかし、昨今では企業が管理する特定個人情報を含む機密情報を狙った「標的型サイバー攻撃」の手口が巧妙化し、高度で執拗な脅威となっています。脅威の例として、悪意のある第三者が関係者を装って標的型メールを仕掛け、閲覧した従業員のPCに不正プログラムを感染させ、巧妙かつ悪質な手口で不正なサイトに誘導する手口があります。遠隔操作ウイルスに感染したPCが外部のC&Cサーバ（攻撃指令サーバー）を介して攻撃者にリモート操作され、社内の情報が外部に持ち出されてしまう被害が多発しているのです。

これらを踏まえ、マイナンバー対策・ネットワークセキュリティ強化への有効な選択肢としてご紹介したいのが、UTM（統合脅威管理）です。

4

２●UTMのキホン〜マイナンバーの保護対策として注目される理由〜

UTM（Unified Threat Management；統合脅威管理）とは、コンピュータウイルスやハッキングなどの脅威からネットワークを効率的かつ包括的に保護する管理手法です。

マイナンバーを狙う犯人は、標的型サイバーをはじめ様々な手段を組み合わせて機密情報を盗み出そうとすることが予想されます。「アンチウィルスソフトやファイアウォールのセキュリティ製品を導入しているから我が社は大丈夫」と考えている方もいるかもしれませんが、それだけで十分とは言えません。サイバー攻撃は手口が複雑化していることから、対策箇所が多岐にわたるため、いくつものセキュリティ対策を組み合わせた「多層防御」が必要となります。

UTM製品には、Webフィルタリング、アンチウィルス、アンチスパイウェア、IDS（不正侵入検知）／IPS（不正侵入阻止）など複数のセキュリティ機能が統合されているため、１つの製品で巧妙化する様々な攻撃から企業ネットワークを守ることが可能になります。従来型のファイアウォール製品とは一線を画す、豊富なセキュリティ機能を備えているのが特徴です。UTMは製品によって、セキュリティコンセプトや特長がそれぞれ異なります。以下は高く評価されているUTM製品の搭載機能の一例です。

マイナンバー制度施行で重要度を増す「UTM」とは

・ウイルス・スパイウェア対策、不正プログラム対策・危険・不正なWebサイトへの接続遮断・組織に不要なサイト（例 違法・アダルト等）への接続予防・不正侵入防御・C&Cサーバ通信の検知と遮断・ファイアウォール機能・セキュリティ機能の設定、ログ分析、レポーティング

C o n t e n t s

３ UTMの押さえておくべき勘所

5

●UTM製品の特長、導入メリット

個別にセキュリティ製品を購入し、複数のセキュリティ対策を講じる場合、導入・運用にかかる負担は非常に大きなものとなります。また、どの製品を導入すればよいのかも悩んでしまうところです。人的リソースやコスト面などの面から、複数のセキュリティを網羅させる対策の必要性は感じつつも、なかなか対策に踏み切れていない企業が多いのが現状です。特に、システム担当者やセキュリティ担当者のいない、コストをかけられない、多くの中小企業において、これらの課題は顕著に現れています。

こうした課題に対して、UTMではセキュリティ機器を個別に導入する必要がないうえ、企業の規模や目的に応じ、巧妙化するサイバー攻撃のセキュリティ対策の強化と、コストダウンといった課題を双方から解決することができます。コストをかけずにひとつのハードウェアで複数機能の設定や管理を統合、様々な種類の脅威動向を管理・防御（統合脅威管理）することが可能になるのです。

UTMは外部ネットワークと社内ネットワークの接合点に1つのハードウェアとして設置します。他のサーバやネットワーク機器などにいちいちソフトをインストールする必要はありません。また、複数のセキュリティ機能が統合されているため個別にメンテナンスする必要もありません。運用管理は自動化されており、機能ごとの操作性が統一されていることなどから、「運用管理が楽になること」「導入のハードルが低いこと」もUTMの大きな特長になります。

つまり、導入から運用のランニングコストまで考えて、UTMはコストパフォーマンスの高いセキュリティ製品といえます。

C o n t e n t s

４●ファイアウォールだけでは防ぎきれない！

セキュリティといえば、インターネットの接続部分でパケットと呼ばれる通信データをチェックし、接続を判定する「ファイアウォール」が定番です。しかし、ファイアウォールは外部からの不正アクセスをブロックすることができる一方で、 内部から外部への不正なアクセスは防御することはできません。

標的型サイバー攻撃により遠隔操作ウイルスに感染したPCは、内部から外部への不正通信を経て、内部データが流出します。たとえば、攻撃者は悪意あるメールを標的に送信し添付ファイルを開かせることでウィルスに感染させます。そして、C&Cサーバーにコールバック（ネットワーク内部から外部に接続）し、指令を受け取ってから攻撃を開始。感染端末を踏み台にして社内の情報を収集し、目的の情報を搾取します。こうした手口は、通信手段に着眼しパケットのヘッダーだけを見て、「不正な通信」を判別するファイアウォ—ルだけでは防ぎきることはできません。また、ほとんどのファイアウォールは、マルウェアによるC&Cサーバーへのコールバックを監視することはできません。

ファイアウォールとUTMの違い

これに対してUTMは、メールフィルタリング機能や不正なWebサイトへの接続チェック、パケットのデータ部分も参照した不正通信防御などで総合判断するため、高度で執拗な攻撃を防ぐことが可能になります。

6

５ 社内外のリスクから会社とマイナンバーを守る！「Cloud Edge あんしんプラス」とは

●内部・外部からの脅威に対する対策をインターネットの出入口で実現！

ここで、これまでにご説明してきたUTMの特長を、すべて兼ね備えている中小企業向けゲートウェイセキュリティマネージドサービスをご紹介します。それが、日本事務器株式会社(以下 NJC)が提供する「Cloud Edge あんしんプラス」です。脆弱性をつく攻撃や不正な遠隔操作、情報漏えいへの対策をインターネットの出入口で実現します。

「Cloud Edge あんしんプラス」は、接続するハードウェア（BOX）と、トレンドマイクロのクラウド上にあるセキュリティインフラ、NJCのあんしんサポートを組み合わせたセキュリティソリューションです。UTMとしての強力な機能はもちろん、セキュリティの各設定、インシデント監視、バージョンアップから月次レポートなど、面倒な管理をNJCの総合監視センターで実施します。初期導入時のお客様作業を最小限に抑え、サポートを付加した安心法人向けサービスです。マイナンバー制度の「安全管理措置対策」にも有効です。

脆弱性への対策

内部からの情報漏えい対策

外部からの遠隔操作対策

TM

【NJCあんしんサポート】◆標準セキュリティポリシー設定◆ハードウェア保守◆監視サービス

(インシデント発生報告および対処支援）・ハードウェア死活監視・C&Cサーバ接続検知アラート

◆ファームウェアリモートアップデート◆月次レポート◆ヘルプデスクサービス

TM

TM

7

【トレンドマイクロ UTM】

＋

「Cloud Edge あんしんプラス」TM

C o n t e n t sCompany Profile

会社概要

社 名 日本事務器株式会社 （Nippon Jimuki Co.,Ltd.）

代表者 田中 啓一

創 業 大正13年2月（1924年）（昭和23年6月株式会社に改組）

資本金 3.6億円

事業内容トータルソリューションサービスコンサルティング（経営、情報システム）／情報システム開発／情報システムの運用と保守（システム運用、メンテナンス、監視サービス、ヘルプデスク）

従業員数 902名 （NJCグループ 1,319名） ［2015年3月期］

主要納入先地方自治体、独立行政法人、社会福祉法人、学校法人･図書館、漁業協同組合、医療法人、健診施設、民間介護事業者、明治、マツダグループ、アサヒビールグループ、トヨタグループほか民間企業各社

NJCグループ

日本事務器シェアードサービス株式会社NJCネットコミュニケーションズ株式会社株式会社メディカル情報サービスNJCソフトウェア株式会社

本社所在地 〒151-0071 渋谷区本町三丁目12番1号住友不動産西新宿ビル6号館10F

本資料についてのお問い合わせや「Cloud Edge あんしんプラス」の詳細については、下記までご連絡ください。

TEL：050-3000-1523 (平日 9：00〜17：30)Email： seplus@njc.co.jp

http://www.anshinplus.jp/service/cloudedge.html

TM

検索あんしんプラス