マイナンバー制度に対応するにあたってもっとも頭を悩ませることの一つが安全管理措置の対策ではないでしょうか。安全管理措置の内容は多岐に渡るため、今まで情報の管理をしたことがない企業にとってはどこから手をつければ良いのやらと頭を抱えていることかと思います。Dellのサービスや製品なら安全管理措置を幅広くカバーしてくれるので企業担当者の方はぜひチェックしてみてください。
安全管理措置とは
番号法は、個人番号を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限しています。安全管理措置とは、事業者が個人番号及び特定個人情報の漏洩、滅失又は毀損の防止等のために設定された措置のことです。マイナンバーは、この安全管理措置などが義務付けられます。
技術的安全管理措置をカバーするDDPとSonicWALL
技術的安全管理措置としては、特定のシステムにアクセスする端末に対し、より強固なセキュリティ対策ツールとして、認証や暗号化、マルウェア対策をラインアップした「Dell Data Protection(DDP)」の採用や、侵入防御やアンチウィルス、URLフィルタリングといったセキュリティゲートウェイ製品とセキュアリモートアクセス製品をラインアップした「SonicWALLシリーズ」を用意している。いずれも、既に多くのユーザーに利用されている実績あるセキュリティ対策製品だ。
アクセス識別と認証、データの暗号化、不正アクセスの防止を担うDDP
2. 個々のエンドポイントやデータポイントを強固な状態にする: DDP|シリーズエンドポイントやデータの保護が、技術的安全管理措置において、どの部分に対応するかですが、大きく次の3つの部分の対策として用いることができます。
1. アクセス者の識別と認証:
正等な利用者を識別する認証ソリューション DDP|ST Dell Data Protection |
Security Toolsスマートカードや指紋認証などを管理することで、エンドポイントデバイスの正面玄関を守るソリューションです。
2, 特定個人情報ファイルを守る:
データそのものを保護する暗号化ソリューション DDP|EE Dell Data Protection | Encryption
USBデバイス等の外部デバイスに保存したデータの暗号化保護や、不正コピーからの防御を行い、盗難・紛失からデータを守るソリューションです。
3, 外部からの不正アクセスから守る:
不正な入出力の取り締まりを実現する標的型攻撃対策ソリューション DDP|PW Dell Data Protection | Protected Workspace
不正なアクセスや通信を検知し、正常な状態に戻す。標的型攻撃などからデータを守るエンドポイント・セキュリティ・ソリューションです。
多層防御のSonicWALL
そこで、外部からの不正アクセス等の防止として、お勧めするのが、SonicWALL次世代FireWALL(UTM)です。次世代ファイアウォールが提供する機能として、特徴的なのが、一台で、様々なセキュリティ対策を実現できるということです。単一のセキュリティ対策では高度化する攻撃を防ぐのは困難です。そこで、様々なセキュリティ対策(ファイアウォール、VPN、アンチウイルス、IPS/IDS、コンテンツフィルタリング、アプリケーションのコントロール等)を組み合わせて対応するのですが、これを「多層防御」といいます。この「多層防御」を単体で実現するのが、次世代FireWALLであるSonicWALLなのです。
基本方針・取扱規定や人的・組織的安全管理措置を包括的に含むDell SecureWorks
安全管理措置では基本方針や取扱規定も策定しなければいけません!
事業者は、特定個人情報等の取扱いに関する安全管理措置について、次の ような手順で検討を行う必要がある。
A 個人番号を取り扱う事務の範囲の明確化
事業者は、個人番号関係事務又は個人番号利用事務の範囲を明確にして
おかなければならない。→ガイドライン第4-1-(1) A参照
B 特定個人情報等の範囲の明確化
事業者は、Aで明確化した事務において取り扱う特定個人情報等の範囲 を明確にしておかなければならない(注)。
(注)特定個人情報等の範囲を明確にするとは、事務において使用される個人番号及 び個人番号と関連付けて管理される個人情報(氏名、生年月日等)の範囲を明確 にすることをいう。
C 事務取扱担当者の明確化
事業者は、Aで明確化した事務に従事する事務取扱担当者を明確にして おかなければならない。
D 基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むため
に、基本方針を策定することが重要である。→ A参照
E 取扱規程等の策定
事業者は、A~Cで明確化した事務における特定個人情報等の適正な取
扱いを確保するために、取扱規程等を策定しなければならない。→ B参
照
包括的にカバーするDell SecureWorks
ここで注目したいのは、デルのセキュリティサービス「Dell SecureWorks」である。マイナンバー制度は、いずれの企業にも十分なセキュリティ対策を実施することを求めている。その中には、上述したように組織的な対応が必要なものも多い。しかし、セキュリティの専門家を持たない組織にとって、適切な対策を取るのは困難である。そこでデルは、セキュリティコンサルティングやインシデントレスポンス、マネージドセキュリティ、トレーニングといった、基本方針・取扱規定の策定や組織的安全管理措置の実施を支援するサービスを包括的に提供している。
「Dell SecureWorksは、1999年からセキュリティサービスを提供し、全世界で4500社以上のユーザーを抱え、1日に1100億件ものインシデントを処理する能力を持っています。米Gartnerから全世界のマネージドセキュリティサービス(MSS)に関するマジッククアドラント(2014年12月)の「リーダー」クアドラントとして高く評価されています(Dell SecureWorksの発表資料)。さまざまな知識やノウハウを速やかに提供し、マイナンバー対策も強力に支援することが可能です」(石垣氏)
セキュリティ&リスク コンサルティング
Dell SecureWorksのセキュリティ&リスク コンサルティングチームは、その専門技術と分析能力を通じて、お客様のセキュリティ体制の強化、リスクの軽減、コンプライアンスの推進、および運用効率の向上を支援します。当社は、戦略的なセキュリティプログラムの設計、お客様のセキュリティ対策の評価およびテスト、重大なセキュリティ違反の解決、およびコンプライアンスへの準拠について、数千社にのぼるお客様を支援してきました。
業界で高く評価されている専門技術と成熟したコンサルティングプロセスにより、真のビジネス価値をお客様に提供します。
マネージド セキュリティ
Dell SecureWorksのマネージド セキュリティ サービスでは、セキュリティテクノロジーと管理に対する投資効果を最大限に高め、お客様の資産に対するリスクを最小限に抑え、さらにインフラストラクチャの管理および監視に関連する運用コストを削減します。 当社認定のセキュリティ専門スタッフが、お客様のサポート要員としての役割を果たし、企業に対する脅威を軽減し、お客様のチームと協力してリスクの低減に取り組みます。 マネージド セキュリティ サービスは定額制で提供されるため、お客様固有の要件に合わせてカスタマイズできるほか、完全なアウトソーシングから共同管理、セキュリティイベントの監視、ログの管理まで、さまざまなサービスを提供します。