マイナンバーを守るための対策、最も根本的なセキュリティ論点
マイナンバー社会保障・税番号制度の施行を目前に控え、個人情報の保護やシステム的対応をめぐる論争が熱い。そんななか、誤解も広がっていることから、明確に認識しておかなければならない、最も重要な事案に回答することで、この誤解を払拭することに一役買いたい。
「マイナンバーを暗号化すれば、対策は完璧」
「暗号化しておくと、そのあとの取扱いは気にしなくていい」
結論から言わせて頂くと、「違う」。データを暗号化しても、データの管理における厳密度は下げてはいけない。関連コンプライアンスにもそう明記されており、 「特定個人情報保護委員会」より公表されているガイドラインによると、暗号化等を採用し変換された個人識別番号に対し、変換前の個人識別番号と同レベルで取扱いすることを明らかにしている。
「マイナンバー保護の最大のリスクは、一体何?」
実は、データ暗号化というのは、簡単な作業ではない。ICTシステム全体にわたり、広範囲で適用しなければならない非常に大変な作業となるため、「マイナンバー保護の最大のリスクは」と聞かれると、簡単に回答はできないが、その中で一つを選ぶとすれば、個人情報を取扱いする実際の現場での日常的な活動から見ると、それは、
「マイナンバーには、”誰”がアクセスできるのか?」
ということである。情報にアクセスできるのは、”誰”なのか。それは、アクセス権限を持っている者である。じゃ、そのアクセス権限を付与するのは、”誰”なのか。非常に残念なことであるが、個人情報保護における最も大きなリスクに直面してしまう。殆どの現場では、アクセス権限を付与する”誰か”は、「システム管理者」か、又は「データベース管理者」であり、その人が”セキュリティ管理”も兼業してしまう場面に遭遇する。
このような状況は、実に変だと思うべきだ。システム管理者は、組織におけるシステムの運用および管理に責任があるわけで、データベース管理者は、当該データベースにおける運用や各種問題に対応する責任があるわけだ。そのため、この担当者らは、セキュリティの求められている個人情報そのものにアクセスする権限を持たせる必要もなければ、そもそもアクセスする必要自体がない。更に、このシステム管理者とデータベース管理者が、なぜセキュリティポリシー、つまり個人情報へのアクセス権限を設定し運用してしまうのか。「システム管理者だから」という極めて単純な論理で、セキュリティ管理者でもないシステム管理者が組織のセキュリティポリシーを総括する大役を背負ってしまう場合は珍しくない。これこそが実際現場レベルで引き起こされる個人情報保護における最大のリスクである。
データベース管理者のDBA(Database Administrator)に関しても当然ながらセキュリティ管理者との明確な職責分離を実現しなければならない。暗号化したデータに対しては、許可されたユーザのみがアクセス可能にすべきであり、いくら全権限を持っているDBAでも、セキュリティ管理者からの許可がなければ暗号化データの復号はできないようにすべきである。
長年情報セキュリティをやっているとよく耳にする言葉がある。
「セキュリティはチェーンのようで、このチェーンの強度は、最も弱い箇所の強度で決まる」
要するに、情報セキュリティ全体を構成する全ての要素が高レベルで維持されていなければならないということである。そのシステムのセキュリティのレベルは、最もセキュリティのレベルが低い箇所によって評価されてしまう。そのため、弱いところを突かれてしまうと、システムの全体がダメになってしまうものだ。最も弱い箇所というのは?状況によって答えはそれぞれだと思うが、個人情報の保護における最弱の箇所は、DBAとセキュリティ管理者の職責分離である。
「では、個人情報に対しアクセス制御を行っていれば、全ての問題が解決されるのか?」
これには、簡単に答えられない。データセキュリティにおいて「暗号化」と「アクセス制御」は、その優位性を主張してきた。この二択の選択肢を持ったユーザは、その選択を迫られてきた。暗号化とアクセス制御は、セキュリティにおけるアプローチから明白に異なっていて、メリット・デメリットがあり、今になってもユーザからみたら、選択できないでいる。
早速結論から言わせて頂くが、データ暗号化が答えになる。なぜ?
1. セキュリティレベル
アクセス制御のソリューションのベンダーは、よく言う。暗号化に比べ、構築および導入においてその簡単さからシステムの可用性が高く、アカウント別に情報へのアクセス権限を付与又は遮断することで、情報漏えい事故を未然に防ぐ効果があると。しかしながら、これは、システムおよびネットワークのパフォーマンスに与える影響の面で暗号化と比較しているだけで、本来のセキュリティの面では、言及をしない。これはセキュリティの面では、暗号化のほうが優位にあるという逆説ではないかとも思えるし、事実上そうでもある。
暗号化ソリューションのベンダーは、よく言う。アクセス制御に比べ、高セキュリティを保障できると。万が一、情報漏えい事故が発生したとして、データが暗号化されているのであれば、内容は解読できたい状態であるため、安全だと。そして、暗号化こそが根本的なセキュリティ対策になると訴えている。もちろん暗号化にもデメリットはある。過去には、長い構築期間や暗号化後のパフォーマンス劣化が懸念されていて、とりわけ、パフォーマンスやシステム安定性が強く求められる金融業界では、暗号化前後のパフォーマンスの劣化を予測できないということから、暗号化の導入をためらってきた。
このような話も、今や昔話に過ぎない。暗号化は、構築期間、パフォーマンス、安定性等に非常に敏感な金融機関のような現場に次々と導入され、これまで指摘されてきたシステムの可用性の問題を乗り越えたと評価されている。 アプライアンス型の導入によるハードウェアとソフトウェアの一体型にてデメリットとして指摘されていたスピードの問題まで、完全に解決した。その結果、今は、誰も「暗号化は、セキュリティ的には高いと思うが、スピードが出ない」とは言えなくなっている。
その反面、アクセス制御のセキュリティには相変わらず疑問が残っている。アクセス制御システムは、データの存在する内部システムではなく、外部システムとして新規構築する。それは、事実上もう一つの管理権限を作ることになり、マイナンバーデータに対しセキュリティ管理者を指定することではなく、データベースのアクセス制御のための管理者を新設することを意味する。つまり、根本的な対策にはならないということ。なお、アクセス制御にて指定したパス及び条件に該当しないアクセスの場合、対象外となる限界もある。
2. 情報漏えいがあっても、基本安全
完全なる情報セキュリティは存在するだろうか。残念ながら、存在しない。完全なるセキュリティを目指して日々努力を重ねていくのみである。
セキュリティ対策は、「情報が最初から外部に漏出しないこと」を前提とする嫌いがある。情報漏えいを抜本的に遮断するためにあらゆるソリューションを採用し対策を講じても、絶えずに大規模な情報漏えい事故は発生し報道されていることをみると、深刻な問題を抱えている単なるリスク管理の論理であるというしかない。大変残念だが、情報は漏出するものである。情報は短時間にて広範囲にわたり広がる性質を持っている。よって、情報漏えいは、必然的であり、人間が完全に防ぐことはできない。情報というのは、そもそもそういう性質だから。
情報漏えいを防ぐために最善を尽くすべきだが、万が一の状況に備えて、万全の準備をしなければならない。漏えいしてしまってからの「回復力」が求められる。情報漏えいの影響を最小限に抑え、日々の業務状態に戻すまでがどれだけ短時間で内部および外部に影響を与えずにできるかがポイントとなる。暗号化は、情報漏えいが起きてしまった場合でも、情報を安全に保護できる唯一な方法である。有意義な情報をビット単位の無意味な文字列に変換することで、解読できなくすることで情報漏えいの目的を根本的に遮断する方法でもある。情報が漏洩されたとしても、その中身は読み取れないという、究極な方法とも言える。
ただし、暗号化したデータと暗号化・復号の鍵まで持って行かれたら暗号化自体根本的に意味がなくなるため、暗号化をするなら、「鍵管理」を想定しないと行けない。
3. 暗号化とアクセス制御の両面に対応できる
的確に導入および構築されている暗号化システムでは、”誰”が暗号化・復号の鍵を持つのか、指定することにより、情報へのアクセス権限を管理できる。つまり、鍵管理が適切に行われているのであれば、アクセス制御のソリューションのベンダーが主張している部分はできてしまうことを意味する。逆に、アクセス制御ソリューションにおいて、暗号化ソリューションが提供するセキュリティは、確保できるのか。そもそもそういう構造ではない。
データ暗号化を前提とし、セキュリティ管理の一環としてアクセス制御ソリューションを活用する方法は考えられる。市販のデータ暗号化製品の中で、セキュリティに関する正確な概念を持って設計されているソリューションの場合は、データベースおよび暗号化されたカラム単位でアクセス制御を設定できるインターフェースがすでに実装されているため、個別にアクセス制御ソリューションを追加構築する必要もない。
また、暗号化システムを構築すると、組織全体におけるデータ管理のプロセスが変わることになる。こうした変化は、開発プロセスにも影響を与え、データの生成・共有・廃棄というデータのライフサイクル全体における暗号化・復号の鍵をどのように管理するのかを考えないと行けない羽目になる。これは、とてもポジティブに受け入れるべきであり、データの処理プロセスはもちろん、開発プロセスまで一段階ランクアップするきっかけになるからである。このようなことを既に経験している数多くの海外の企業は、暗号化導入後の満足度が高いと評価していて、これは、暗号化から企業のデータ管理セキュリティの意識が生まれるとも言えるだろう。
繰り返すようだが、
「個人情報に対しアクセス制御を行っていれば、全てのセキュリティ問題が解決されるのか?」
答えは、「解決できない。 暗号化が必要である。」