Posts

【コラム】韓国から見た日本年金機構の個人情報漏えい事件を語る

 

韓国から見た日本年金機構の個人情報漏えい事件を語る

 

マイナンバー社会保障・税番号制度の施行を目前に、必要なセキュリティ対策とは。
日本年金機構の年金情報の管理システムがハッキングを受け、125万人もの個人情報が漏えいされる大事故が発生した。日本の公共機関としては史上最大規模の事件であり、今後被害がさらに拡大する恐れもあることから、マイナンバー社会保障・税番号制度の施行を目前に、個人情報の管理における懸念や不信の声が高まっているという。韓国では常に目にしている「このシーン」が他国でも起きていることを見ていたら、妙な気持さえする。「ようこそ、地獄へ」各種メディアから報道されている事件の全貌から、その本質と核心を探ってみたところ、どうやら、セキュリティ対策といって、何をどうすればいいのか、はっきりしていない。一つずつ綿密に突き詰めていけば、問題の核心に近づけるはずだ。

現段階であがっている問題とその対策は、概ね以下の通りだ。

「発端はウイルス感染なので、問題はアンチウイルスソフトなのか。」
「組織の内部ネットワークによる拡散なので、ネットワークセキュリティに集中するべきなのか。」
「データを安全に保管していなかったので、データベースを暗号化すれば、済むのか。」

1. アンチウイルスソフトは対策にならない

最初にウイルスを発見した時、外部の管理会社は、「情報を漏えいできるようなウイルスではない」と判断した。恐らく従来型のウイルスを装った悪性コードであろう。アンチウイルスは、既存のリストからマッチングさせるシグネチャベースであるため、そもそものはなし、その限界がある。最近の情報セキュリティの傾向をみると、「アンチウイルスの導入は、基本中の基本」とみられる。しかし、実際には、それは対策にはならないのだ。攻撃者の立場で考えてみよう。「標的」を定めた攻撃者は、既知の攻撃のパターンを用いるバカなことはしない。市販のアンチウイルスソフトにてテストしてから攻撃に挑むだろう。だからと言って、市販のアンチウイルスソフトが不要というわけではない。少なくとも、「新米」のハッカーによる攻撃に対する対策としては、十分有効だろう。

 

2. ネットワークのセキュリティ対策で済む問題ではない
殆どのWebハッキング攻撃のパターンは、通常1次攻撃と2次攻撃にわけて考えられる。1次攻撃は、外部から標的の内部ネットワークに潜入すること、そして、2次攻撃は、1次攻撃の成功を持って内部のネットワークおよびシステムを支配し、目的を達成することを意味する。2次攻撃により成し遂げたいのは、「重要なデータ」である。最近の攻撃には、一昔前までの攻撃のようにただシステム上不具合を意図する愉快犯的な試みもないわけではないが、大規模のシステムを狙う場合のコストを考えても、得るもの(対価)がなければ、狙うも者もいないのが定説になっている。得るものとは?個人情報といった、いわゆる「カネになるもの」であることは、想像に難しくないだろう。

今回の事件に戻ろう。1次攻撃の試みとしてEメールを用いていることに注目する必要がある。通常のネットワークレベルのセキュリティ製品では、Webを介し転送されるEメールやWebコンテンツを監視対象にすることができない。「コンテンツ」はネットワークのL7(OSI 7レイヤによる分類)にてその「正体」が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できないためだ。ここでL7を監視できる「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の出番となる。

だからこそ、ただ「ネットワークセキュリティ」だけでは、済む問題ではないというのだ。最初に感染した福岡支部の職員のパソコンをネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認され、すぐさまその広がりをみせた。ネットワークセキュリティにおける階層の脆弱性を利用したに違いないだろう。一体どれだけ「WAF導入の必要性」を訴えれば、分かっていただけるのか。残念なことばかりだ。

 

3. 単なるデータ暗号化では、十分ではない

 

今回の事件の当事者である日本年金機構やその監督機関である厚生労働省の方なら大変耳障りであるお話になるが、そもそもの話、なぜデータの暗号化をしていないのか。これは国民の個人情報を扱っている機関として恥を知るべく、この場を借りて指摘したい。もはや日本も韓国のように個人識別番号のマイナンバー社会保障・税番号の制度の施行を目前にしているものの、個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていく等、特段の措置を取る必要がある。言うまでもなく、当然なことであろう。

「データ暗号化」は、事実上非常に複雑なものである。そのアルゴリズムは簡単であるものの、暗号化は複雑である。なぜだろう?

今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。韓国がそうであった。そして番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合も必ず出てくる。そのため、なりすまし防止への対応と同時に多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。要するに、単なる暗号化ではなく、「データ暗号化プラットフォーム」の構築が求められているということが言いたい。今回のような個人情報の漏えい事件により、当分は本人確認手続き等が厳しくなるだろうが、同時にデータ暗号化の仕組みは、ICTシステム全体にわたって適用されなければならない。単なる暗号化製品を提供している会社はいくらでもある。しかしながら、データ暗号化プラットフォームの全体をカバーできる暗号化専門会社は、そうはいない。必ず暗号化のコア技術を保有している「専門会社」と相談してもらいたい。

事件の全貌やその対策に関して検討してみた。 繰り返しいうが、韓国では、常に目にしていたシーンであり、日常茶飯事である。

日本の開発者、そして個人情報の管理責任者に言いたい。韓国では10年以上も前から毎日のように目にしていることであると。個人情報の管理と漏えいの問題は、日本にとっても他人のことではないことを認識してもらいたい。

WAPPLES

 

WAPPLESは, 世界各国117,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】マイナンバーの導入!カギとなるのは、データ暗号化!

 

マイナンバーの導入まですでに1年を切り、日本国内ではそれに対する様々な声が高まっています。データ工学専門家として関心を持たざるを得ない話題であり、日本政府の発表内容とその反応に注目したいです。
元々の導入目的である複雑な行政手続の簡素化への期待や、IT業界の成長を成し遂げる決め手になると見込まれるなど肯定的な意見も多い反面、プライバシー侵害や個人情報漏洩といったリスクに対する懸念の声も多いです。それは当然のことでしょう。国をあげてのインフラ整備や政策の策定・実行していく上で現れる明暗は、どの国でも同じではないかと思います。韓国の「住民登録番号」と日本の「マイナンバー」マイナンバーは、各種年金、保険、納税、運転免許、パスポートなどそれぞれの行政機関で行われていた業務を、国民一人一人に固有の識別番号を割り当て、情報を一元管理して業務の効率性向上や無駄な重複投資の削減を図ることが狙いです。それは、韓国で使われている「住民登録番号」とよく似ています。したがって、住民登録番号を利用することによって韓国で発生した様々なセキュリティ問題を踏まえて、「マイナンバー」管理システムが今後取り組むべきことについて考えてみましょう。
韓国の「住民登録番号」における問題点は、大きく2つあります。
最初に、個人識別番号そのものに盛り込まれている情報が多すぎることです。住民登録番号だけで、特定人物の生年月日はもちろん、性別、出身地域まで判別でき、その情報を基にデータの整列と検索を行うことで、その他の情報も簡単に推測することが可能です。それは、数十年前の「紙文書時代」に作られた住民登録番号が、元々秘密設計されていなかったためです。それに比べ「マイナンバー」は、設計の段階から韓国の「住民登録番号」のように番号そのものに情報が盛り込まれていないため、このような問題は生じないと思われます。

次に、事実上再発行不可能な単一の固有番号が、余りにも多くのデータベースの識別インデックスとして使われることによって生じる技術的なセキュリティ問題の深刻さを挙げられます。その問題を解決するために韓国では、「i-PIN」という任意に生成させた値を使い、問題が発生したら振替番号を新しく割り当てる、インターネット上の身元確認番号システムが提案されました。しかし、完全に定着している「住民登録番号」システムには追い付かず、業績も伸び悩んでいます。「住民登録番号=インデックス」という設定による問題は今もなお残されています。
個人識別番号をデータベースの識別インデックスとして使うことが、なぜ、問題になるのでしょうか?
一般のデータベースには、テーブル処理と検索のためにインデックス値が必要となります。インデックスは,高速の検索動作だけでなくレコードアクセスに関わる整列など、動作のベースになります。そのため、重複項目はインデックス値として登録できず、テーブル上での完全な固有性が求められます。つまり、効率性だけをみると、完全な単一の固有個人識別番号がインデックスとして使われるのは、適合だといえます。実際にそのように処理される場合も多いです。

ところが、インデックスは、データベースのテーブルの中でも、最もよく呼び出されるものであるため、事実上完全隠蔽は不可能であります。
残りの全ての情報につながるカギとも言えますが、それが露出されており、また多くのシステムに通用するものであるとしたら、それは情報セキュリティの深刻な弱点になりかねません。さらに、インデックス値がユーザの身元を確認することにまで使われるとしたら、ユーザの全ての個人情報がもれなく流出されてしまう最悪の結果につながります。
「マイナンバー」セキュリティソリューションの選択基準
韓国の「住民登録番号」と同様に、日本の「マイナンバー」も徹底した暗号化のプロセスを通じて処理、保存しなければなりません。その重要性は言うまでもなく、それに関わる研究も活発に行われています。その中で、最も信頼できるのが、個人の識別が可能な重要情報は徹底に隠し、それを代替する他の適切な値を使う方法です。

その方法に対する研究も活発に行われており、「トークン化(Tokenization)」をはじめ、フォーマットを維持した暗号化である「FPE(Format-preserving encryption)」など、多様な方法があります。その全ての方法に専門性を持っていて現場の必要に応じて最適の方法で対応できるデータ暗号化専門企業との緊密な連携が何より重要となります。

「マイナンバー」の値を他の値に置き替えて使う方法などを支援するセキュリティソリューションのビジネスは、今後、日本の情報セキュリティ市場をリードすると見込まれます。国レベルのインフラ事業をはじめ、個人事業など大小問わず事業が立ち上がり続けるでしょう。約500万に至る全ての日本の企業は、1年以内に新制度に対応しなければならなく、それに伴う混乱は避けて通れないことです。

この時期にこそ、雨後の筍のように出る「マイナンバーセキュリティソリューション」に対して技術面で適切かどうか、判断に慎重を期す必要があります。従来のITシステムを大きく変更しないままセキュリティを十分に確保することは、大変難しいことです。導入前後の点検も簡単な問題ではありません。
本当に安全な暗号化なのか、従来のプロセスを害することはないか、ソリューションを導入するには、従来のシステムにどのくらいの修正が必要となるのか、修正作業の難易度はどの程度なのか、複数のシステムが繋がっている連携システムの場合、システム間のネットワーク通信区間のセキュリティは安全なのか、今後のシステムの管理や運用に適切なのか、メンテナンスは円滑に行われるのか、そして、決定的にソリューションの価格は妥当なのかなど、考慮すべきことは山ほどあります。

時期が時期だけに、特に、導入費用に関しましては徹底に調べる必要があります。好機を逃瀬ないと思い、低性能の製品を高い価格で販売するなど、市長と消費者を裏切る悪意を持った事業者は必ずあります。
混乱が予想できる時期にあるだけに、問題の核心に集中することを推奨します。問題の核心とは、データ暗号化そのものです。ソリューション導入を決定する前に、データ暗号化専門企業と十分に相談し、状況に適切な対応ができるように体制を整えることが必要です。

日本は、韓国で起きた住民登録番号のセキュリティに関する大騒ぎを反面教師にすべきです。これまで長い間、 同じ性質の問題に悩み、解決し,乗り越えてきた韓国のデータ暗号化専門企業のノウハウをご参照ください。

 

 

 

【コラム】SAPは、会社そのもの、徹底したセキュリティが必要!

 

SAPは、会社そのもの、徹底したセキュリティが必要!
– SAPのデータ暗号化の二つの方式
 
総合型(業務横断型)業務リソース管理(Enterprise Resource Planning, ERP)は、企業も経営および管理のためのコンピュータシステムです。会社内部の各部門にわたり、それぞれ運用されてきた、様々な経営リソースを一つの統合システムとして管理することで、生産性を最大限にする経営の革新のツールです。

ERPセキュリティ

ERPを通じ、会社は、様々なリソースのフローを処理し、監視します。リソースの効率的運用のため、関連データを収集し解析することで、最適な経営的判断ができるようにサポートすることもERPのロールです。そのため、ERPはデータベースを基盤としリソースを管理します。各部署の意思決定の結果は、部署の活動と密接に影響を与え合うため、会社全体のシステムは、有機的に統合され、縦と横を駆けぬきながら連携されたシステムのフローは流れ続けて行きます。

様々なERPソフトウェアがありますが、その中でも、
「SAP(Systems, Applications, and Products in Data Processing)」は代表的なブランドです。全ERPのマーケットにて約50%のシェアを誇り、今シェアを拡大しつつあります。様々な業種と規模の会社で採用していますが、特に大手企業がSAPを好む傾向にあります。SAPを採用し、製造、開発、購買、マーケテイングサービス、流通、会計等の業務を統合管理するため、会社のビジネス活動そのものと言えます。

会社の活動においてERPの比重は相当大きいため、ERPセキュリティこそ会社セキュリティそのものと言っても過言ではありません。会社システムは、会社内部のみ閉鎖的に利用されているため、比較的安全だという考えが多いですが、Web社会の本格化、そして系列会社を含んだ全社的に統合されたシステムの構築が求められているため、社内外の区分が薄れてきています。またSAPもCRM, SCM, SRM等拡張パッケージをERPシステムと連携し統合しています。その結果、ERPシステムのセキュリティ問題は、技術的次元を超えてビジネス的次元へと拡張されていると言える時代になりました。

 

SAPデータ暗号化

 

ERP内部には、従業員の個人情報、金融取引履歴、営業機密等、重要な情報が格納されています。このような情報は、漏えいされてしまうと、その会社の存続自体が危ぶまれる程、機密な情報であると同時に個人情報保護関連の法律により暗号化が必須である情報でもあります。

しかしながら、会社は、ERPデータの暗号化にすぐさま踏み切ろうとはしません。格納データの構造や属性等といった固有の特性により暗号化自体がそう簡単には行かないためです。特にSAPの場合、その特性上データのタイプおよびデータ長を変更することが非常に難しいため、データの属性を維持すると同時にセキュリティを実現することの両立は厳しい課題でもあります。

SAPにてデータ構造を変更するには、色んな制限があります。SAPソリューションにてデータ構造は、標準化および可読性を重視したかたちで構成されているため、データ長および属性の変更を推奨していません。同時にSAPのポリシー上標準機能に影響を与えない範囲内で追加機能の開発は認めているものの、標準機能自体を変更することは推奨していません。

例えば、データ長および属性を変更するか、あるいはプログラムコードを変更する場合、SAP動作において想定外の問題が発生する恐れがあり、その際の対応および保守は、会社が負わなければなりません。そのため、SAPに対しては、通常のデータベースの暗号化ではない、別な方式でアプローチする必要があり、これこそが、的確なSAPセキュリティの選別の決定球となります。

 

SAP暗号化方式

 

SAPデータ暗号化には、大きく2つの方式があります。

その一つは、クレジットカード番号CCN、個人情報、取引情報等といった高度なセキュリティの実装が求められるデータのみをソートし、AES等の通常の暗号化法方式を採用したセキュリティDBに格納する方式です。SAPシステム内部にて実際のデータの代わりに「ランダムなトークン」に置き換えを行うため、「トークナイゼーション(Tokenization)」と言います。主なデータのみを別に分類し安全に格納するという点では、容易な方式と見られますが、各システム間の通信の確立が必須であり、全体的にシステムが複雑になるため、パフォーマンスに大きく影響を与える恐れがあります。

次の一つは、暗号化装置をSAP内部に搭載し、システムと連動する、フォーマットを維持した暗号化、「FPE(Format-preserving encryption)」があります。SAPシステム内部にて動作することで、システムのパフォーマンスには殆ど影響を与えない反面SAPデータベースにあるトークンは実情報であるため、暗号化アルゴリズムおよび鍵管理等高度なセキュリティが必要されます。そのため、必ずFPE専門企業の製品のみを利用することが重要なポイントになります。

重ねて強調したいことですが、ERPセキュリティは、非常に重要です。その中でもSAPセキュリティは、実装においてはシステムの特徴上より厳格に検討を重ねて行く必要があります。 今回のコラムでは、SAPセキュリティの第一歩として、データ暗号化方式についてお話しをしました。

パフォーマンスおよび高度なセキュリティの両立を望むのであれば、トークナイゼーション方式よりはFPE方式のほうが、より適切な方式と言えますが、その際には、必ずSAPセキュリティに関する総合的な知識のあるセキュリティ専門企業と密接に話し合い、プロジェクトを進めて行くことを心掛けましょう。

【ニュース】ベネッセ社個人情報流出事件からみた韓国と日本の対応の違い

 日本国内最大級情報セキュリティ専門ポータルサイトのScanNetSecurity編集部
ペンタセキュリティのソウル本社を訪問

 

同社のCTOであるDukSoo Kimと韓国と日本のセキュリティ事情の違いをインタビュー
>>>韓国における大規模情報漏洩事故発生時の経営責任

7月14日ペンタセキュリティ本社を訪問した、日本国内最大級情報セキュリティ専門ポータルサイトのScanNetSecurityの編集部は、今回のベネッセ社個人情報流出事件からみた、韓国と日本の対応の違いを取材しました。

******

ベネッセの情報漏えい事件では何名かの取締役が辞任したが、韓国では、大規模情報漏えい事故発生時に経営者に罰則を科す法律がある。韓国のセキュリティベンダ Penta Security Systems Inc. の CTO である、Duk Soo Kim 氏にソウル本社で話を聞いた。

――韓国の個人情報保護の経緯と歴史を教えて下さい。Kim:韓国では2009年に個人情報保護法が施行されましたが、相次ぐ漏えい事故の発生を受け、管理責任者が安全対策の不備を認識していた場合、発生した事故に関する責任を明確化する改正が2011年に行われました。

 

――リスクを認識していながらそれを放置していた場合ペナルティが科されるということですね。

Kim:そうです。しかし、それでもまだ不充分であるということで、2013年に再度法改正が行われ、たとえ管理者が充分と思われる対策を実施していたとしても、CEOを含む管理責任者に、懲戒や更迭などを含むペナルティが科されるようになりました。今年2014年8月から施行されます。

 

――今年1月に韓国で発生したクレジットカードの情報漏えいでは、ロッテ社など大手の取締役の多くが辞任に追い込まれています。一方で、日本では韓国よりもずっと早く個人情報保護法が作られましたが、ペナルティを伴う運用は行われていません。

Kim:情報漏えい事故が起こるたびに、記者会見で謝るだけの社長や取締役の姿を韓国の誰もが見飽きたのだと思います。一方、経営陣への罰則は、現場のセキュリティ管理責任者と経営者の間にあるギャップを埋めることも目的としています。経営者はセキュリティ対策をコストと考え投資を敬遠する傾向にあるからです。現在韓国では、金融委員会が金融機関向けに、IT予算の7%をセキュリティ対策費用として計上すること、社員の5%の人数をセキュリティ対策部署の要員とすることと定めています。

 

――なぜ韓国ではこういった思い切ったルール決めが可能なのでしょうか。

Kim:一つは、韓国ではインターネットバンキングや、電子政府サービスによる行政書類手続など、ネットでできることが非常にたくさんあって、犯罪者の利益が大きいからだと思います。

二つ目は、情報漏えいによる被害が非常に身近だということです。たとえば韓国から盗まれた個人情報が、中国の犯罪組織に売却されて、ハングルを話せる中国人による電話詐欺が行われる犯罪があるのですが、韓国の成人の半数くらいは、一度はこの電話を受けたことがあります。こうした詐欺は、韓国のバラエティ番組でコントのネタになるくらい国民にとって身近です。中国から来るこうした詐欺電話の話し手のハングルには、北のイントネーションがあるので、それをネタにするんです。

 

――Penta Security Systems は、今後の韓国のセキュリティにどのように寄与していくのでしょうか。

Kim:私は根本的な対策は暗号化だと思っています。重要なデータの棚卸しを行い、情報管理のライフサイクルに暗号化を組み込んでいく必要があります。たとえば、個人情報が入ったファイルは暗号化することを義務づけるなどです。また、当社は WAF の国内最大手として支持をいただいていますが、そもそも開発段階からセキュリティを考慮したアプリケーション開発も進める必要があります。

 

最後に、エンタープライズだけではなく、個人やSMBも対象に、セキュリティの大衆化を図っていきたいと思っています。WAFをアンチウイルス並に簡単に利用できるようにしていく一方で、オープンソースDBMS向けの暗号化ソリューション「MyDiamo」などを公開しています。

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5573-8191

 

 

ペンタセキュリティシステムズ、第10回情報セキュリティEXPO【春】に出展

ペンタセキュリティシステムズ、第10回情報セキュリティEXPO【春】に出展

 

ペンタセキュリティシステムズ株式会社( www.pentasecurity.co.jp、以下、 当社)は、201358日(水)から10日(金)の3日間、東京ビックサイトで開催される「第10回情報セキュリティEXPO【春】」へ出展します。

 

この展示会で当社は、昨今増加の一途を辿っている特定の企業や団体に対する標的型攻撃が社会問題として取り上げられている中、情報資産の保護が最優先課題となっております。

そこで当社はWeb改ざん対策であるWebアプリケーションファイアウォールの「WAPPLES(ワップル)」と、企業・団体が保有する個人情報及び機密情報を格納するデータベースの暗号化ソリューション「D’Amo(ディアモ)」を展示します。

今回のEXPOを通じ、当社は企業の情報資産を的確に保護し、重大な事件・事故を未然に防止する費用対効果の高いセキュリティソリューションを提案します。

当日は導入が容易なWebアプリケーションファイアウォール「WAPPLES」のアプライアンス版と、クラウドや仮想環境下に最適なバーチャルアプライアンス版の2種類とデータベース暗号化ソリューションの「D’Amo」を展示します。

 

情報セキュリティEXPO【春】開催概要

会期

201358() – 2013510() 10:00 – 18:00

会場

東京ビックサイト 小間番号:27-3