[インタビュー]ソリトンシステムズ荒木粧子氏に聞く、「年金機構」以降のサイバー攻撃とマイナンバー対策（後編）

2015年10月にマイナンバーの配布が開始され、2016年1月に本格運用が開始となるマイナンバー制度。マイナンバーを取得した企業や自治体の「安全管理措置」の考え方は、日本年金機構のインシデント以降、内部不正防止からサイバー攻撃対策へと劇的に変化している。

前編では、ソリトンシステムズプロダクトマーケティング部部長の荒木粧子氏に、日本年金機構のインシデント以降、企業や自治体に求められるサイバー攻撃対策について話を聞いた。

後編では、マイナンバーなどの重要情報を保護する施策としての「基幹系」と「情報系」の「ネットワーク分離」と、分離後の業務効率低下を防ぐ方法について同氏に聞いた。

──年金機構のインシデント以降、マイナンバーなどの重要情報を保護する施策として、基幹系システムと情報系システムのネットワークを分離する話が増えています。しかし、年金機構でも、基礎年金番号などの個人情報が格納された「基幹系」システムは、インターネットに接続する「情報系」システムとは分離されていたとのこと。果たしてネットワーク分離は意味のある対策なのでしょうか？

「基幹系」と「情報系」のネットワーク分離により、一定のセキュリティ効果は期待できます。しかし、両方のシステムを利用しなければ業務が成り立たないことが多いため、問題は、「分離したときにも業務効率を著しく損なわず、安全に運用できるか？」だと思います。

──つまり、ネットワーク分離には意味はあるが、その場合の運用が大事ということですね。

年金機構では、ネットワーク分離をしたうえで、インターネットに接続できない「基幹系」にあるデータを、インターネットに接続可能な「情報系」の共有サーバーに一時保管して利用するなど、個人情報が記録されたファイルの取扱いではセキュリティ上のルールに基づき運用していたようです。一時保管時には、アクセス制限やパスワード付与、保管の事実を総務部に連絡するといったルールがあったようですが、実際には守られていないケースがあったとか。

厳しすぎるセキュリティポリシーと現実の業務実態にギャップがあり、運用が困難な状態に陥っていたと考えられますが、これはどの組織でも起こり得ると思います。

──セキュリティと現実のギャップとなると根が深い問題に聞こえますが

本来は、ルールを守ると業務が回らないという状況を生み出さないような仕組みを目指すべきなのですが、実際には一筋縄ではいかないものです。このあたりは、弊社のような製品開発ベンダーもそうですが、システム設計・構築・運用に関わるすべての人が、真剣に知恵を絞るべきところですね。こういうところに手を抜くとシステム全体が脆弱になっていくのだと思います。

サイバー攻撃の検知・防御には目が向けられても、こうした日々の業務に関する部分は見落とされがちで、実際に、現場の方々はこのギャップに苦労なさるという状況が広がりつつあるので、危機感を覚えています。

──もう少し具体的に、ネットワーク分離時の運用の課題をお聞かせください

マイナンバーなどの重要情報はインターネットに接続できない「基幹系」ネットワーク内に保管し、インターネット接続を許可する「情報系」ネットワークから物理的に独立させた形で運営するというのが、「ネットワーク分離」によるセキュリティ対策です。ただし、「基幹系」システムの情報を利用して業務することがほとんどであるため、何らかの形でこうした情報にアクセスする必要があります。

一応ネットワーク分離は行うものの、利用する端末は共通、つまり、ある時は「基幹系」に接続し、またある時は「情報系」に接続するという運用をなさっているケースもあるようですが、結局、同じ端末を用いている限り、「基幹系」から「情報系」にデータ移動できる状態ですので、完全な分離ではありません。この場合は、その端末のセキュリティ対策を強化しておくことが重要となってきます。前編でご紹介した振る舞い検知型のマルウェア対策「Zerona」やPC操作ログ「InfoTrace PLUS」などは、特にこうした環境にお勧めしたいところです。

──では、完全なネットワーク分離環境で、業務効率を下げない方法はあるのでしょうか

データコピーが禁止された画面転送型のリモートデスクトップを利用する方法があります。シンクライアントでも良いのですが、基盤をお持ちでないケースではコストがかかるため、弊社では、「Soliton SecureDesktop」という製品をご提案しています。

「Soliton SecureDesktop」は、画面転送型の高速・高セキュリティのリモートコントロール製品です。「基幹系」と「情報系」の両ネットワークが論理的に分離されているものの、両方の端末を操作しなければならないという場合でも、画面転送型で情報漏洩を防止しつつ、業務効率を落とさない運用が実現できます。

例えば、「基幹系」の端末を、「情報系」の端末からリモートで操作することができ、その際、「基幹系」端末上のデータを「情報系」端末にコピーすることは禁止されるため、完全にネットワーク分離した状態で、1台の端末から業務を行うことができます。既存端末を活用でき、中継用のサーバーは専用アプライアンスで提供しているため、導入しやすくセキュリティも確保しやすいソリューションです。

──業務によっては「基幹系」から「情報系」にデータを移動させなければならないケースもあると聞きます

年金機構では、「基幹系」の必要データをCD-ROMに焼いて、「情報系」の共有サーバーにコピーしていたようですが、そのように手間のかかる仕組みだと運用が回らないだろうことは容易に想像できます。

「情報系」にデータをコピーする運用が発生する場合は、誰が、いつ、どのファイルを持ち出したのか、きちんと承認されたうえで行われていたのかは、最低限、記録として残す必要がありますが、その煩雑さを少しでも軽減するためにも、こうした記録の取れるファイル共有の仕組みを導入するのも一つの手です。

弊社では、ファイル共有アプライアンス「FileZen」で、CD-ROMやUSBストレージなどのリムーバブルディスクを利用せずに、ファイルの送受信を行うご提案をしています。

「FileZen」は複数インターフェイスが実装されているため、「基幹系」と「情報系」にそれぞれ別のポートで接続することで、両ネットワークの分離を確立しつつ、ファイル共有が実現できます（ルーティングするわけではないため、ネットワーク分離の維持が可能）。「基幹系」の重要情報のファイルを「FileZen」に一時保管すると、「FileZen」からダウンロード案内のメールを受信したユーザのみファイルがダウンロードできるという仕組みで、誰が、いつ、どのファイルをアップロード・ダウンロードしたのかがすべて記録に残るほか、承認ワークフローも実装されているので、運用に即したファイルのやり取りを行うことが可能です。

「情報系」にファイルをコピーした後は、その端末におけるPC操作ログを取得するなど、しかるべき対策が必要となるのは言うまでもありません。

「ネットワーク分離」を行いつつ、業務効率低下を防ぐ方法としては、ご紹介したツールを活用する方法もありますし、もっと別の方法もあろうかと思います。マイナンバーなどの重要情報を保護するセキュリティ対策としては、サイバー攻撃の検知・防御だけに注目するのではなく、実運用を考慮した無理のない設計になっているかどうかをチェックし、システム全体としてセキュアな環境の構築を進めることが大切だと考えています。

──ありがとうございました