ラック、全国の自治体のマイナンバー保護を、技術と知見により加速させる取り組みを開始
~マイナンバーを狙うサイバー攻撃の対策を、ツールキットとDB保護ソリューションで支援~
2015年9月15日 | プレス
株式会社ラック(本社:東京都千代田区、代表取締役社長:髙梨 輝彦、以下ラック)は、サイバー攻撃による脅威からマイナンバーを保護するという、全国の自治体が抱える大きな課題に対して、自社が蓄積した情報セキュリティ技術と知見を活用することにより、対策を支援する取り組みを開始します。
2015年10月より、マイナンバーの交付が行われ、2016年1月からは、実際にマイナンバーを活用した行政サービスもスタートします。そして、2017年に予定されている自治体間の情報連携においては、高度技術を用いたネットワーク接続が必要となります。住民に向けた行政サービスの拡張にあわせ、扱われる情報の重要度が増すなか、自治体の情報保護・管理のあり方が問われています。しかしながら、限られた予算と人員、そして技術に対する理解が追いつかない状況にあると言われています。
また、2015年6月1日に公表された、日本年金機構に対する標的型攻撃事件に端を発し、その後多くの企業や公共団体において標的型攻撃の事件報道が相次ぎました。この中でも大きなインパクトを受けたのが、2015年6月17日に長野県上田市がホームページで公表した標的型攻撃による事件です。標的型攻撃による被害が確認されたことにより、安全上の理由から行政ネットワークや住基ネットから遮断されるなど、上田市の行政機能に大きな影響を及ぼしたとされています。
日本中に組織される基礎自治体は大小合わせ1741あり、それぞれの自治体が住民のマイナンバーの保護主体者であることを考えると、大きな組織も小さな組織も可能な限り等しいセキュリティ対策の実施が必要とされます。しかしながら、前述したように予算、人員、知識の面での課題は残ります。
当社は、このような状況を踏まえて、あらゆるメディアや自社のホームページを活用し、セキュリティ対策の必要性を啓発し、セキュリティ対策の重要性の理解が浸透するための取り組みを行ってまいりました。しかしながら、現実にセキュリティ対策を推進するには、大都市圏にあるセキュリティ事業者が遠隔で対策する限界があることも確かです。
このことを鑑み、当社は以下のような取り組みを組み合わせ、セキュリティ対策の理解の促進、支援を全国に広げる取り組み、情報そのものの保護ソリューションの提案を行ってまいります。
1. セキュリティ対策の方法、ノウハウ、ツールの提供
セキュリティ対策は、IT利用者の構築したIT環境に大きく依存し、攻撃という名の脅威は日々変化し狡猾になっているうえに、安全性を高めるための技術も常に日進月歩の状況で、情報セキュリティの専門家ではなければ状況を把握し対策を打つことが難しくなりつつあります。
そこで、IT利用者が情報セキュリティ対策において重要なポイントを整理し、さらに対策を推進する際に助けとなるドキュメントやチェックリスト、ツールキットなどを開発し、提供します。
「標的型攻撃 対策室」
https://www.lac.co.jp/anti-apt/
「標的型攻撃 対策指南書 第1版」
https://www.lac.co.jp/library/apt/1.html
「標的型攻撃対策ツールキット」
本ツールキットは、後述の「ラック標的型攻撃対策 パートナープログラム」参加企業へ提供され、自治体の対策支援にお役立ていただきます。
理解と教育
1) 標的型攻撃緊急対応マニュアル
2) 基礎教育(基礎的な知識)用教育コンテンツ
演習や訓練
1) 基礎訓練(標的型攻撃メール訓練)実施用ツール
2) 基礎訓練(セキュリティ基礎理解用ボードゲーム)実施用ツール
3) 自己点検(遠隔操作ウイルス感染などのチェック)実施マニュアルと、技術者向けトレーニング
監督・監査
重要情報取り扱いチェックシートによる「割れ窓」チェック用マニュアル
気づく・見つける
1) 攻撃被害発生確認(プロキシサーバーログの確認)の実施マニュアル
2) 簡易版セキュリティ監視(SecureNet®)導入支援
なお、本ツールキットの開発を含め、自治体のセキュリティ対策を強力に推進するため、ITbook株式会社とラック両社の知見により技術面を中心とした協力関係を結ぶこととなりました。
「ラックとITbook、自治体の標的型攻撃対策を共同で進めることに基本合意」は、以下を参照ください。
https://www.lac.co.jp/news/2015/09/15_press_02.html
2. ラック標的型攻撃対策 パートナープログラムの企画
日本全国に組織される自治体に対して、地域のシステムインテグレーターやデータセンター事業者がセキュリティのプロフェッショナルとして、対策支援を提供するために、「ラック標的型攻撃対策 パートナープログラム」を企画します。
本パートナープログラムに参加することで、当社が開発した標的型攻撃に対抗する運用マニュアルや、標的型攻撃メール訓練のツール、組織への教育コンテンツ、被害発生を発見するためのツール群をご利用いただけます。
「ラック標的型攻撃対策 パートナープログラム」の詳細は、次のWebサイトをご覧ください。
https://www.lac.co.jp/anti-apt/partner.html
本パートナープログラムに関するプレスリリースは、以下を参照ください。
https://www.lac.co.jp/news/2015/09/15_press_03.html
3. マイナンバーを保護するためのソリューションを継続的に提案
マイナンバーを保護するための取り組みを進めるには、「標的型攻撃 対策指南書」にまとめられている多層防御を取り込む必要があります。これは標的型攻撃のように狡猾で執拗な攻撃を発見し、撃退し、万が一攻撃が成功しても被害を最小限にとどめるために必要なことです。
当社はこの取り組みを支援するため、マイナンバー保護に効果があると考えられるソリューションを継続的に提案してまいります。
Imperva SecureSphere Database Securityによるマイナンバーデータベースの保護
企業の重要情報の漏洩対策や不正利用の対策、内部統制の整備のためのデータベースセキュリティ強化は重要性を増しています。その対策には、重要情報が格納されているデータベースへのアクセスコントロールは当然として、不正行為の抑止や犯行の早期発見、情報流出時の経路発見、被害状況の早期把握などのために、アクセスログの記録や不正アクセスのモニタリングなどが必要となります。
Imperva SecureSphere Database Securityの以下の機能を活用することで、マイナンバーが格納されたデータベースを取り巻く脅威から守ることができます。
- ①診断・分類 ・・・ データベースの脆弱性の有無
- ②記録・監査 ・・・ アクセス監査ログの取得、特権ユーザ・特権操作の監査
- ③セキュリティ ・・・ セキュリティポリシー違反検知、アクセス制御
- ④分析・報告 ・・・ データ利用履歴の記録、レポート出力
当社は、全国の自治体の安全対策を支援するため、当社の技術と知見、経験を活用し、可能な限りの取り組みを進めてまいります。
最新のレポートは、ラックメールマガジンにて、いち早く皆様にお知らせしています。
配信をご希望の方はこちらからご登録いただけます。
以上
株式会社ラックについて
ラックは、1986年にシステム開発事業で創業、多くの実績を誇る「金融系の基盤システム開発」「マーケティング・オートメーション支援」「ビッグデータ・アナリティクス」を始め、社会の基盤システムの開発を行っています。1995年にはいち早く情報セキュリティ事業を開始し、現在ではサイバーセキュリティ分野のリーディングカンパニーとして、官公庁・企業・団体等のお客様に業界屈指のセキュリティ技術を駆使した、先端のITトータルソリューションサービスを提供しています。2015年には、米フロスト&サリバンより、「セキュリティ監視」「脆弱性診断」「セキュリティ事故対応」「セキュリティコンサルティング」などが高く評価され、「日本市場マネージドセキュリティーサービス プロバイダー最優秀賞」を受賞しています。
* ラック、LACは、株式会社ラックの国内及びその他の国における登録商標または商標です。
* その他、記載されている会社名・団体名、製品名などは、各社の登録商標または商標です。