• Home

  • Internet

  • マイナンバーをきっかけに考える情報セキュリティ
32
ママママママママママママ マママママママママママ

マイナンバーをきっかけに考える情報セキュリティ

Embed Size (px)

Citation preview

Page 1: マイナンバーをきっかけに考える情報セキュリティ

マイナンバーをきっかけに考える情報セキュリティ

Page 2: マイナンバーをきっかけに考える情報セキュリティ

2

平成 27年 10月 5日

マイナンバー制度施行

何をいまさら・・・

Page 3: マイナンバーをきっかけに考える情報セキュリティ

3

おさらい:マイナンバー制度とは 行政を効率化し、国民の利便性を高め  公平・公正な社会を実現する社会基盤。

住民票を有するすべての人に 12桁の個人番号が付さ

れる。

H27.10よりマイナンバー(個人番号)の通知開始 H28.1より、社会保障・税・災害対策の行政手続において

  マイナンバーの告知が義務化   ※ H27年度の源泉徴収票にはマイナンバー記入義務なし

Page 4: マイナンバーをきっかけに考える情報セキュリティ

4

個人番号=マイナンバー H27.10 〜 11に、簡易書留にて住民票の住所宛てに 「通知カード」が送付される。 ※名古屋市は 12月・・・?

通知カードに記載される情報(基本 4情報) 「氏名」「住所」「生年月日」「個人番号(マイナンバー)」

事業者(会社、個人事業主)は、従業員やその扶養家

族の 個人番号を従業員本人の提示により取得する必要がある。

その他、個人事業主への報酬(原稿料、講演料等)に おける支払調書に個人番号の記入が必要。

Page 5: マイナンバーをきっかけに考える情報セキュリティ

5

個人番号カード(≠通知カード) 通知カードの記載情報を元に、住民本人が申請し、各市区町村の窓口で交付。

(表)顔写真、氏名、住所(裏)個人番号

ICチップ内蔵。様々な用途に活用可能。 e-Tax等の電子証明書を搭載可能。 (住基ネットはどうした・・・)

健康保険証、印鑑登録、銀行口座?レンタル会員証? 消費税の還付・・・?

事業主は基本的に責任を負わないがカードを身分証明書として扱う=OK

カード裏面をコピーして保管= NG

Page 6: マイナンバーをきっかけに考える情報セキュリティ

6

マイナンバーの恐ろしいところ・・・

義務規定がある

刑事罰規定がある

Page 7: マイナンバーをきっかけに考える情報セキュリティ

7

特定個人情報保護に関する義務規定 特定個人情報の収集・保管、ファイル・データベースの作成は、   マイナンバー法の規定によるものを除いて、禁止。

個人番号(従業員、業務委託先等)を取得する際には本人確認が

必要。

本人の同意があっても、本来の利用目的を超えて個人番号を   利用することは禁止。(利用目的:源泉徴収票作成、健康保険業務等)

個人番号関係事務を外部委託する場合(税理士、社労士等)、   委託者は委託先に対して監督義務を負う。(再委託先にも!)

法定の保管期間を経過した場合、速やかに廃棄する。

行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法) より抜粋

速やかに廃棄!

Page 8: マイナンバーをきっかけに考える情報セキュリティ

8

マイナンバーの罰則規定事業者の行為 罰則個人番号利用事務等に従事する者が正当な理由なく特定個人情報ファイルを提供した場合

4 年以下の懲役 or200 万円以下の罰金

上記の者が不正な利益を図る目的で個人番号を提供・盗用した場合

3 年以下の懲役 or150 万円以下の罰金

情報システムの事務に従事する者が情報システムに関する秘密を漏えい・盗用

3 年以下の懲役 or150 万円以下の罰金

4 年以上は即実刑!

法人の代表者、管理者、代理人、使用人の違反行為では、行為者とともにその法人・事業主に対しても罰金刑が課される。

Page 9: マイナンバーをきっかけに考える情報セキュリティ

9

事業者の安全管理措置義務( A) 基本方針の策定

事務の流れを整理し、 特定個人情報等の具体的な取扱規程等を策定しなけれはならない。

特定個人情報等の適正な取扱いに組織として取り組むために、基本方針の策定が重要。( B) 取扱規程等の策定 ( C) 組織的安全管理措置 ( D) 人的安全管理措置 ( E) 物理的安全管理措置 ( F) 技術的安全管理措置

特定個人情報等の適正な取扱いのために、組織的安全管理措置を講しなけれはならない。

特定個人情報の適正な取扱いに関するカイドライン (事業者編 ) より抜粋

事特定個人情報等の適正な取扱いのために、人的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、物理的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、技術的安全管理措置を講しなけれはならない。

Page 10: マイナンバーをきっかけに考える情報セキュリティ

10

事業者の安全管理措置義務( A) 基本方針の策定

事務の流れを整理し、 特定個人情報等の具体的な取扱規程等を策定しなけれはならない。

特定個人情報等の適正な取扱いに組織として取り組むために、基本方針の策定が重要。( B) 取扱規程等の策定 ( C) 組織的安全管理措置 ( D) 人的安全管理措置 ( E) 物理的安全管理措置 ( F) 技術的安全管理措置

特定個人情報等の適正な取扱いのために、組織的安全管理措置を講しなけれはならない。

特定個人情報の適正な取扱いに関するカイドライン (事業者編 ) より抜粋

事特定個人情報等の適正な取扱いのために、人的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、物理的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、技術的安全管理措置を講しなけれはならない。

「〜しなければならない」

していないで特定個人情報が

漏えいしたら・・・

Page 11: マイナンバーをきっかけに考える情報セキュリティ

11

事業者の安全管理措置義務( A) 基本方針の策定

事務の流れを整理し、 特定個人情報等の具体的な取扱規程等を策定しなけれはならない。

特定個人情報等の適正な取扱いに組織として取り組むために、基本方針の策定が重要。( B) 取扱規程等の策定 ( C) 組織的安全管理措置 ( D) 人的安全管理措置 ( E) 物理的安全管理措置 ( F) 技術的安全管理措置

特定個人情報等の適正な取扱いのために、組織的安全管理措置を講しなけれはならない。

特定個人情報の適正な取扱いに関するカイドライン (事業者編 ) より抜粋

事特定個人情報等の適正な取扱いのために、人的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、物理的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、技術的安全管理措置を講しなけれはならない。

Page 12: マイナンバーをきっかけに考える情報セキュリティ

12

マイナンバーで守るべき情報

キーマンズネット「マイナンバー導入時の“実務”対応」( http://www.keyman.or.jp/at/30008185/)

Page 13: マイナンバーをきっかけに考える情報セキュリティ

13

この機会に社内の情報セキュリティ全般を真剣に考えてみる

Page 14: マイナンバーをきっかけに考える情報セキュリティ

14

守るべき情報製品機密、工法機密

従業員の個人情報(マイナンバー法の適用外)

顧客情報

経営上の機密情報

銀行口座、クレジットカード情報

Page 15: マイナンバーをきっかけに考える情報セキュリティ

15

情報セキュリティ上の「脅威」ウィルス(マルウェ

ア)

内部からの情報漏えい

標的型攻撃

不正アクセスによる攻撃・侵入

悪意のあるWeb サイト

• メールの添付ファイル• Web サイトからのダウンロード• フィッシングサイト• 悪性サイト→個人情報を抜き取られるおそれ• パスワード総当たり攻撃• 大量アクセスにより動作不能に( DDosS攻撃)• 企業 Web サイトへ不正侵入→改ざん• ターゲットを明確に絞った攻撃• USB メモリ、スマホ、パソコン持ち出し

• ネットワークストレージ、Web メール

Page 16: マイナンバーをきっかけに考える情報セキュリティ

16

某特殊法人の事例ファイル保管サービス 感染発覚

件名:◯◯に関する意見(試案)詳細はこちらのリンクからファイルをダウンロードしてご参照ください。http://***.***.***/***.docx

個人情報

http://***.***.***/***.docx
http://***.***.***/***.docx
http://***.***.***/***.docx
http://***.***.***/***.docx
http://***.***.***/***.docx
http://***.***.***/***.docx
Page 17: マイナンバーをきっかけに考える情報セキュリティ

17

某特殊法人の事例ファイル保管サービス

感染標的型攻撃の典型例

個人情報

From :○○課 ○田○男件名:○○関係研修資料お疲れ様です。添付の圧縮ファイルを開封してください。パスワードは・・・

Page 18: マイナンバーをきっかけに考える情報セキュリティ

18

某特殊法人の事例ファイル保管サービス

個人情報個人情報の一部

共有ファイルサーバ

海運会社

踏み台

Page 19: マイナンバーをきっかけに考える情報セキュリティ

19

情報セキュリティを軽視していると

社会的信用の失墜

訴訟・賠償リスク

経営上の大きな脅威

Page 20: マイナンバーをきっかけに考える情報セキュリティ

20

脅威に対する対策(技術的措置として)ウィルス・マルウェ

内部からの情報漏えい

標的型攻撃

不正アクセスによる攻撃・侵入

悪意のあるWeb サイト

• パソコンへのセキュリティソフトインストール• 水際でのウィルス検知・隔離• 「ブラックリスト」にあるサイトへの接続不可• Web閲覧制限(カテゴリーによる制限)• ファイアウォールによるアクセス制限• 不正アクセス(っぽいもの)を検知• 不正アクセス(と断定できるもの)を遮断• ↑↓の技術の組み合わせで対処  (根本的な解決は難しい・・・)• USB メモリ等のデバイスを無効化• ネットワークストレージやWeb メールへの接続不可

Page 21: マイナンバーをきっかけに考える情報セキュリティ

21

技術的措置①インターネットアクセス

Internet セキュリティソフト

ファイアウォール ウィルス検知

不正侵入検知 (IDS)不正侵入遮断 (IPS) Web サイト制限

Page 22: マイナンバーをきっかけに考える情報セキュリティ

22

技術的措置②内部での情報取扱制限 ファイルサーバ等へのアクセス権限の管理

認証技術の採用( ICカード認証、指紋認証等)

USB メモリ等の外付けデバイスの使用不可にするソフトウェアの

導入

登録外のパソコンや無線機器の接続不可にするソフトウェアの導

ファイル暗号化ソフトウェアの導入これらと組織的・人的安全措置の合わせ技で対処する。 会社所有の USB メモリ等の使用許可制

システムルーム等への入室許可制

アクセスログの取得→アナウンス効果

Page 23: マイナンバーをきっかけに考える情報セキュリティ

23

情報アクセス管理①物理的に分断

担当者

保護対象データ

不便!

LAN から完全に切り離すInternet

Page 24: マイナンバーをきっかけに考える情報セキュリティ

24

情報アクセス管理②論理ネットワーク分割

保護対象データ総務部営業部

ネットワークセグメント分割ルータ /L3 スイッチ

内部犯行は止められない

Page 25: マイナンバーをきっかけに考える情報セキュリティ

25

究極の方法:仮想デスクトップ

コスト大!

「 5分で絶対に分かる仮想デスクトップ/ VDI 」 http://www.atmarkit.co.jp/ait/articles/1408/19/news033.html

データが端末に無いので抜き取れない!

Page 26: マイナンバーをきっかけに考える情報セキュリティ

26

セキュリティ コスト利便性

セキュリティとコスト・利便性はトレードオフ

実務において何を重視するか限られたコスト内でできることは

何か

Page 27: マイナンバーをきっかけに考える情報セキュリティ

27

複数のセキュリティ機能を 1 台でまかなう

UTMという選択肢

Page 28: マイナンバーをきっかけに考える情報セキュリティ

28

UTM (Unified Threat Management=統合脅威管理)

ファイ

アウ

ォール

不正

侵入

ブロッ

ウィルス

ブロッ

WE

Bフ

ィルタ

リン

セグ

メント

分割

Page 29: マイナンバーをきっかけに考える情報セキュリティ

29

UTMのサンドボックス機能未知の脅威も未然に防ぐ

Page 30: マイナンバーをきっかけに考える情報セキュリティ

30

パソコン上のセキュリティ

このページは未作成• 資産管理• USBデバイス等の無効化• 管理外デバイスの接続不可• ファイルの暗号化→AssetView の機能につなげられるように

Page 31: マイナンバーをきっかけに考える情報セキュリティ

31

まとめ 情報セキュリティの確保は、健全な経営遂行のために

必要である。

強固な情報セキュリティの実現には高いコストが必要

であり、利便性を犠牲にする可能性がある。そのため

何に重きをおき、どの程度のセキュリティ措置を実施

するかの判断が必要である。

技術的・物理的安全措置だけでなく、組織的・人的安

全措置を同時に実施することで、より強固な情報セ

キュリティを確保できる。

Page 32: マイナンバーをきっかけに考える情報セキュリティ

32

ご清聴ありがとうございました


IxD of AWA - インタラクションの考え方

IxD of AWA - インタラクションの考え方

Design
禁煙をををを考考考考えているえている方方方方へのへのサポー … · 禁煙をををを考考考考えているえている方方方方へのへのサポート情報

禁煙をををを考考考考えているえている方方方方へのへのサポー … · 禁煙をををを考考考考えているえている方方方方へのへのサポート情報

Documents
情報セキュリティ対策・ドローン IoTセミナー開催のご案内「セキュリティ会社が考える 沖縄 でのドローン 活用 と 最新 の 動向 」 講師

情報セキュリティ対策・ドローン IoTセミナー開催のご案内「セキュリティ会社が考える 沖縄 でのドローン 活用 と 最新 の 動向 」 講師

Documents
グラフィックレコーディングワークを考える 150112

グラフィックレコーディングワークを考える 150112

Design
I phoneアプリを考える 130814

I phoneアプリを考える 130814

Business
ID を中心に考える、 企業のセキュリティ対策download.microsoft.com/download/6/B/C/6BC73E0F-F902-47F3...ガートナーは、Identity and Access Management as a Service

ID を中心に考える、 企業のセキュリティ対策download.microsoft.com/download/6/B/C/6BC73E0F-F902-47F3...ガートナーは、Identity and Access Management as a Service

Documents
AWSにフィットする 最適なセキュリティ対策とその考え方 · awsにフィットする 最適なセキュリティ対策とその考え方 トレンドマイクロ株式会社

AWSにフィットする 最適なセキュリティ対策とその考え方 · awsにフィットする 最適なセキュリティ対策とその考え方 トレンドマイクロ株式会社

Documents
押さえておきたい IE8 の セキュリティ 新機能

押さえておきたい IE8 の セキュリティ 新機能

Documents
サイバーセキュリティ強化の新たな考え方...セキュリティ情報収集 セキュリティ監視 脆弱性診断 分析 / レポーティング インシデントハンドリング

サイバーセキュリティ強化の新たな考え方...セキュリティ情報収集 セキュリティ監視 脆弱性診断 分析 / レポーティング インシデントハンドリング

Documents
Webセキュリティ 3つの視点から考えるサイバー攻撃と自分

Webセキュリティ 3つの視点から考えるサイバー攻撃と自分

Technology
<2> 情報セキュリティについて考えてみましょう ① ...<2> 情報セキュリティについて考えてみましょう ①オンラインゲームで集めた大切なアイテムが・・・

<2> 情報セキュリティについて考えてみましょう ① ...<2> 情報セキュリティについて考えてみましょう ①オンラインゲームで集めた大切なアイテムが・・・

Documents
デジタルマーケティング 基本と考え方

デジタルマーケティング 基本と考え方

Marketing
クラウドコンピューティング のセキュリティを考える...Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable

クラウドコンピューティング のセキュリティを考える...Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable

Documents
クラウドセキュリティFAQ セキュリティ対策を分解して考える

クラウドセキュリティFAQ セキュリティ対策を分解して考える

Technology
大規模な情報漏えい事件の特性と対策の考え方 · 原田要之助:大規模な情報漏えい事件の特性と対策の考え方 情報セキュリティ総合科学

大規模な情報漏えい事件の特性と対策の考え方 · 原田要之助:大規模な情報漏えい事件の特性と対策の考え方 情報セキュリティ総合科学

Documents
WordPress セキュリティを考える会、SQLインジェクション、CSRF

WordPress セキュリティを考える会、SQLインジェクション、CSRF

Technology
関西情報化実態調査2006 報 告 書 - kiis.or.jp · 企業の情報セキュリティ対策を考えるとき、最近重要視されているのは「情報セキュ リティガバナンス」という考え方である。この考え方は2005年3月、経済産業省が発

関西情報化実態調査2006 報 告 書 - kiis.or.jp · 企業の情報セキュリティ対策を考えるとき、最近重要視されているのは「情報セキュ リティガバナンス」という考え方である。この考え方は2005年3月、経済産業省が発

Documents
- XML Consortiumxmlconsortium.org/seminar08/081128-1218/part2/data/... · 2010-11-12 · 「「「「エョキラエョキラのの考考考えるええるるえる次世代情報共有基盤

- XML Consortiumxmlconsortium.org/seminar08/081128-1218/part2/data/... · 2010-11-12 · 「「「「エョキラエョキラのの考考考えるええるるえる次世代情報共有基盤

Documents
クレジットカード取引における セキュリティ対策の …4 2.セキュリティ対策の強化に向けた基本的な考え方 本協議会においては、2020

クレジットカード取引における セキュリティ対策の …4 2.セキュリティ対策の強化に向けた基本的な考え方 本協議会においては、2020

Documents
「運用改善」を考える 〜「自動化」を考える前に

「運用改善」を考える 〜「自動化」を考える前に

Services
を考える - Obayashi

を考える - Obayashi

Documents
リクルートの利用事例から考える AWSの各サービスとセキュリティ

リクルートの利用事例から考える AWSの各サービスとセキュリティ

Technology
Security Strategy by the Cloud in AWS / AWS におけるセキュリティ対策の考え方

Security Strategy by the Cloud in AWS / AWS におけるセキュリティ対策の考え方

Internet
【Schoo web campus】seo対策を考える前に考えるべきこと

【Schoo web campus】seo対策を考える前に考えるべきこと

Business
モヤLT_マニモト_study giftを考える

モヤLT_マニモト_study giftを考える

Documents
私の考える Startup Geeks

私の考える Startup Geeks

Engineering
グラフィックレコーディングワークを考える 141103

グラフィックレコーディングワークを考える 141103

Design
ClubDB2 第197回 DBセキュリティを一緒に考えよう

ClubDB2 第197回 DBセキュリティを一緒に考えよう

Data & Analytics
AWSで変わるコスト構造と セキュリティの考え方• aws のセキュリティと統制に関する情報をホワイトペーパー およびウェブサイトコンテンツで公表します

AWSで変わるコスト構造と セキュリティの考え方• aws のセキュリティと統制に関する情報をホワイトペーパー およびウェブサイトコンテンツで公表します

Documents
Well-Architectedから考える クラウドセキュリティ...マスターAWS Well タイトルの書式設定-Architected Framework 14 セキュリティの項目 項目 質問

Well-Architectedから考える クラウドセキュリティ...マスターAWS Well タイトルの書式設定-Architected Framework 14 セキュリティの項目 項目 質問

Documents