マイナンバー安心セットの詳細・お問い合わせhttp://jpn.nec.com/pcserver/mynumberset.html

※この記事は、ITmediaエンタープライズ（http://www.itmedia.co.jp/enterprise/）に2015年8月に掲載されたコンテンツを再構成したものです。　http://www.itmedia.co.jp/enterprise/articles/1508/31/news006.html※製品・サービスの名称や仕様、価格などは、掲載時のものです。※ALog ConVerterは、株式会社網屋の登録商標です。本冊子に記載されている製品名、サービス名は一般に各社の商標または登録商標です。※記載された製品仕様は予告なく変更される場合があります。

マイナンバー制度の開始が目前に迫る中、多くの企業がその対応に追われている。ただ、各種ガイドラインを見ても「具体的にどうするの？」と頭を抱え、とりわけセキュリティ対策で戸惑う中小企業が少なくない。マイナンバーの安全確保に向けたノークリサーチ シニアアナリストの岩上由高氏のアドバイスと、その実践に役立つ具体的なソリューションを紹介しよう。

今から間に合うマイナンバーの安全対策

企業が押さえるべきはココ！

ビジネスシーンを快適にサポートするWindows 8.1 Pro操作しやすいインターフェイスや、強固なセキュリティなど、ビジネスシーンでのPC利用を支援する多彩な機能を提供します。

セキュリティ強化

スタートボタン搭載。タイルも自由にカスタマイズ

使いやすさの向上

OSもアプリケーションも

高速起動

運用性向上

内蔵HDDの高速暗号化でデータを保護

APB473

か」といった情報について、ユーザーの操作履歴に沿った形式のレポートを自動的に作成する（図 3）。　ログを監視することで、マイナンバーを扱うシステム上での社員の操作履歴が “見える”ようになるため、万一の事態が起きてもその状況を速やかに突きとめることができるだろう。また、マイナンバー関連データのアクセス頻度などをもとに、管理者にアラートを発信することもできる。例えば「業務時間外のアクセスが多い」といった条件を設定しておき、しきい値を超えるアクセスが検知されると、管理者にアラートして不審な操作による被害の発生を未然に食い止めることができるだろう。　これまで「ログの分析は大変」と敬遠してきた企業なら、ぜひマイナンバーのセキュリティ対策をきっかけに活用を検討したい。　さらに、マイナンバー安心セットではマイナンバーのデータを暗号化して保護する「データ暗号化セット」を用意している。万一 HDDが持ち出しや盗難によって外部に流出しても、データは暗号化されているので、悪用されるリスクを低減できる。セットに同梱されている暗号

化対応ストレージ「iStorage M110」が、データを自動的に暗号化して保存するので、管理者がうっかりデータの暗号化操作を忘れてしまう恐れもない。　ノークリサーチの調査結果で興味深いのは、回答企業の多くがマイナンバー対応を通じてセキュリティの向上を目指す意向を持っているという点だ（グラフ 2）。マイナンバー制度をセキュリティ対策の見直す機会と前向きに受け取っている。　「マイナンバー対応が企業の義務であるなら、むしろ好機ととらえ、これまで抱えてきた情報管理やセキュリティ対策の問題を解決し、“攻め ” の経営に向けた基盤固めに乗り出そうとする企業が少なくない」（岩上氏）　企業がマイナンバー制度への対応で取り組む範囲は実に広いが、極めて機密性が高いマイナンバーの安全を確保することが非常に重要だ。そのセキュリティ対策の現実解ともいえる「マイナンバー安心セット」は、マイナンバー対応と今後のセキュリティ強化に大いに貢献してくれることだろう。

図 3：専門家でないと難解な生ログを、専門知識を持たない管理者にも分かりやすい形式でレポートを作成する

グラフ 2：マイナンバー制度に対する基本方針（複数回答可） 出典：2015年版中堅・中小企業における法制度対応に関する動向レポート（ノークリサーチ）

マイナンバー制度に対する基本方針（複数回答可）

■ 個人情報保護やセキュリティ対策の機会と捉え、システム導入 /更新を積極的に進める■ 個人情報保護やセキュリティ対策の機会と捉え、社内の教育 /啓蒙を積極的に進める■ 明確な罰則規定がない限り、特に何もしない

5億円未満 (n=171)

5億円以上～ 50億円未満 (n=175)

50億円以上～ 100億円未満 (n=183)

100億円以上～ 300億円未満 (n=191)

300億円以上～ 500億円未満 (n=181)

9.9%

10.5%

11.4%16.0%

13.1%

5.0%

17.7%19.3%

13.6%

2.7%

2.6%

14.8%

14.7%

7.4%

5.8%

3月 1日に　としおさんが　会計 DBに　「ログオン」して　「参照」した

複雑なログを 見やすいログに変換

<Audit_type>I</Audit_type><Session_ID>1560282</Session_ID><EntryID>22</EntryID><Extended_Timestamp>2010-03-17T15:28:50.666000</Extended_Timestamp><DB_User>Toshio</DB_User><OS_User>DBSV01\suzuki</OS_User><Userhost>AMIYA.CO.JP\DBSV01</Userhost>

生ログいつ 誰が どこで 何を

　 時間

2010/3/115:07:00

2010/3/115:07:12

ユーザー

Toshio

Toshio

　対象

<Client>pc135<App>会計 DBユーザーがログオンしました

<Client>pc135<App>会計 DBMasterテーブルのデータが参照されました

操作

DB_LOGON

DB_SELECT

クライアント PC

人事・給与システム

暗号化ストレージ

マイナンバーデータ

データベース

アクセスの監視

①顔認証ログオンセット　セット価格：327,920円～

③データ暗号化セット　セット価格：998,000円～

既存システム 既存システムに追加導入することでセキュリティを強化できます源泉徴収票

扶養控除申告

監視サーバ

②アクセスログ監視セット　セット価格：817,600円～

暗号化

ＨＤＤの暗号化

データ漏えい防止

なりすましの防止

　2016年 1月に「マイナンバー制度」がスタートする。「マイナンバー」という新たな仕組みに対する企業の認知度は、政府の広報活動などもあって徐々に高まりつつあるものの、残念ながらその対応における具体的な内容への理解はあまり進んでいないようだ。　中堅・中小企業を対象にノークリサーチが 2015年 1月に実施した「マイナンバー制度への対応」に関する調査によると、制度を知る企業は 9割を超え

る。しかし調査を取りまとめたシニアアナリストの岩上由高氏は、「残念ながら制度の内容を深く理解しているのはごく一部にとどまる」と指摘する。調査結果をみると、「自社対応すべき事項もすべて把握している」という企業は、2014年 7月時点で 13.4％だが、2015年 1月時点も 15.4％であり、わずか 2％しか増えていない（グラフ 1）。　マイナンバー対応は全ての企業の義務であることを考慮すると、これは見逃すことのできない状況だ。岩上氏も制度開始時点で、この割合が急速に高まることはないだろうと予想する。制度開始に先駆けて2015年 10月から国民へ 12桁のマイナンバーの通知も始まるだけに、残り少ない時間で中堅・中小企業はどう対応を進めるべきなのだろうか。

個人情報とマイナンバーの違いとは？　岩上氏が真っ先に挙げるポイントが、「個人情報」と「マイナンバー」の違いを正しく理解することである。従来の個人情報は、基本的な権利の保護を原則とした上で情報を提供する側と利用する側との同意によって利用範囲が具体的に決まってくる。一方、マイナンバーは利用目的が明確に決められており、法律で規定された目的以外の利用は一切認められない。　そこで想定されるのが、「目的外利用が禁止されていることを知らずに、マイナンバーを社員番号に利用したり、社員情報と組み合わせて利用してしまうといった、悪意のない行為」（岩上氏）である。悪意がなくても、結果的に目的外利用をしてしまうことで、法律によって罪を問われかねないのだ。　「マイナンバー対応では人事給与システムなどの更新や、専用システムの構築を含めたアウトソーサーの活用などが検討されているものの、いずれのケースでも目的外利用が厳しく禁止されていることを知

らないまま対応を進めてしまうと、潜在的なリスクが高まるだろう」と岩上氏は警鐘を鳴らす。

セキュリティ対策の水準をどこに合わせるべきか　マイナンバー制度では情報を厳格に管理するために必要なセキュリティ対策を企業に義務付けている。ただ、民間企業向けにガイドラインで提示されている対策方法と、法律で要求されるセキュリティレベルに大きな開きがあるとも岩上氏は指摘する。　「ガイドラインが示すセキュリティ対策の内容は “理想的な ”ゴールといえるものだが、具体的にどのように対応すればよいか、企業の間で戸惑いが生じてしまっている。時間と予算に余裕があれば、ガイドラインの内容を完全に準拠することも選択肢の 1つになるが、既に制度開始まで半年を切っており、中堅・中小企業では予算も限られる。「この状況を勘案すれば、法律が求める最低限のセキュリティレベルを確保できる対策を確実に遂行するという取り組みも現実解の 1つとなってくる」（岩上氏）　その取り組みの起点は、上述した “悪意のない ”ケースも含めてマイナンバーの目的外利用を確実に防ぐことだ。そこで考えられる効果的な対策の 1つとして岩上氏は、「アクセス制御」と「アクセス監視」を挙げている。　「アクセス制御」は、限定されたマイナンバーの事務取扱担当者以外の社員がマイナンバーにアクセスしてしまうことを防ぐ。具体的には、目的外利用につながりかねない最初の対策ポイントである認証を適切に行い、事務取扱担当者以外の人物が情報にアクセスしないようにする。　「アクセス監視」は、誰（どの部署）が、いつ、どのようにマイナンバーへアクセスしたのかをログ情報から監視、管理するものだ。万一の事態が発生してもログ情報を頼りに、その時点の状況を把握することが可能になり、問題が人間に起因するものか、組織に起因するものかといった調査にも役立つ。事実を適切に提示できなければ企業としての責任を厳しく問われるだけでなく、社会的な信用を失い、最悪のケースなら倒産や事業の撤退といった事態に陥りかねないのだ。　岩上氏によると、自身のマイナンバーを会社に提出する社員が、自社のセキュリティレベルに懸念を抱くようになることも想定され、会社側としては社員の懸念を払しょくしないといけない。「しかし、人の意識に頼るだけでは、やはり対策に漏れが生じかねない。社外だけではなく社内からの信頼も維持し続けていくために、企業は技術的な方法

も活用しながら、マイナンバーの安全を確保していただきたい」とアドバイスしている。

マイナンバーを守る「安心セット」のススメ　ここまで見てきたように、企業がマイナンバー対応を進めていく中でまず取り組むべきポイントの 1つが、重要なマイナンバーの目的外利用を防ぐことにある。そのための方策として注目したいのが、NEC

の提供する「マイナンバー安心セット」の活用だ。　「マイナンバー安心セット」は、中堅・中小企業がマイナンバー制度に対応する際に必要とされるセキュリティ対策の仕組みを既存システムに追加していける特徴を持つ。NECの豊富な知識とノウハウをもとに開発され、システムへの安全なアクセスを実現する「顔認証ログオンセット」、データベースのアクセス履歴を管理する「アクセスログ監視セット」、データの暗号化によりマイナンバーを保護する「データ暗号化セット」で構成される。マイナンバーのセキュリティ対策を短期間、かつ、網羅的に実施できるよう支援してくれる頼もしい存在となるだろう（図 1）。　3種類のセットのうち、上述の岩上氏の提言にある「アクセス制御」を支援するのが、「顔認証ログオンセット」だ。同セットは、PC内蔵もしくは外付カメラで撮影したユーザーの顔の画像を用いてWindows

PCのログオン認証を行う。　PCのログオン認証では IDとパスワードを使うのが一般的だろう。しかし、IDとパスワードが分かれば誰でもログオンして、システムにアクセスできてしまう。外部からのサイバー攻撃などによって盗まれてしまう恐れがあるのはもちろんのこと、社内でも IDとパスワードをメモ書きしている実態も多く、IDとパスワードだけの認証では不正なアクセスを防ぎ切れない。　しかし、ユーザーの顔を利用する生体認証であれば、不正なアクセスによるリスクを大幅に低減できる。「顔認証ログオンセット」に搭載されるNECの顔認証ソフト「NeoFace Monitor」は認証精度が極めて高く、顔画像の解析においては世界最高水準を誇る※。顔認証ロ

グオンセットによってマイナンバーを扱う人事給与システムへアクセスする環境を用意すれば、事務取扱担当者以外のアクセスを遮断できる環境を容易に構築できる。

認証は “PCの前に座るだけ ”　「顔認証ログオンセット」によるログオン操作は、極めて簡単でユーザーに負担がかからない。認証に必要な操作は、カメラに顔が映るようPCの前に座るだけだ。実際に顔認証を試してみると、まず Enter

キーを押して顔認証画面を表示する。するとその瞬間に認証が完了してしまう。認証に要する時間は 1秒にも満たないだろう。体感的には“ あっと言う間 ”としか例えようがないほどで、ユーザーは顔認証を特に意識することなく、座ると同時に作業に取り掛かれる（図 2）。　また、顔認証の機能はログオン後も続けて動作しており、ユーザーが席を離れてカメラに顔が映らなくなると、PCがロックされる。再び席に戻るとまた瞬時にロック解除が完了するので、ユーザーがちょっとした用事で離席しても、その間にマイナンバーを盗み見られる心配は無用だろう。事務取扱担当者などユーザーの顔画像の登録も簡単だ。　認証操作の履歴はログとして保存されるので、作業履歴や認証の失敗の有無も把握できる。認証に失敗した顔画像も保管されるので、誰が不正ログオンを試みたのかも分かる。　顔認証ログオンセットを活用することで、マイナンバーを扱うシステムへのアクセスのセキュリティレベルを高めながら、ユーザーに手間がかからず業務効率も担保できるようになるだろう。

万一の事態に備える対策も活用しよう　岩上氏の提起するもう1つの「アクセス監視」に対応するのが、「アクセスログ監視セット」である。　ログ管理の有効性は認識していても、専任の IT担当者が不在なことの多い中堅中小企業では、運用できていないケースもあるだろう。さらに、データベースのログによるアクセス監視では、データベースのログの内容が極めて難解であり、その意味を読み解ける人材をなかなか確保しづらいといった課題が挙げられる。　このため「アクセスログ監視セット」は、人事給与システムのデータベースのログを管理ソフト「ALog ConVerter DB」を利用して、専門知識を持たない管理者でも内容を理解できるようにログの情報を変換して表示してくれる。「誰が」「いつ」「どのデータに」「何をした

ノークリサーチ シニアアナリスト岩上由高氏

図 2：顔認証によるログオンの様子。正規のユーザーが PCの前に座ったその瞬間に処理が完了してしまう

グラフ 1：マイナンバー制度の認知状況　出典：2015年版中堅・中小企業における法制度対応に関する動向レポート（ノークリサーチ）

図 1：3つのセットでマイナンバーの安全を確保する「マイナンバー安心セット」

※プレスリリース「NEC、米国国立標準技術研究所 (NIST)の顔認証技術 ベンチマークテストで 3 回連続の第 1位評価を獲得」 http://jpn.nec.com/press/201406/20140620_01.html

マイナンバー制度の認知状況

0 % 20 % 40 % 60 % 80 % 100 %

■ 内容を理解しており、自社で対応すべき事項も全て把握している■ 内容は理解しているが、自社で対応すべき事項は把握していない■ 名前だけは知っているが、内容については良くわからない■ 聞いたことがない用語である□ その他

2014年 7月：500億円未満全体 (n=1000)

2015年 1月：500億円未満全体 (n=1000)

13.4% 34.2% 37.2% 15.2%

15.4% 35.2% 39.5% 9.9%