第4章 民間サービス利用時における個人情報漏洩のリスク評価・・・44
2 シミュレーションモデルのリスク評価
前節では、
民間サービス利用時に考えられるサービスフローやシステム構成のシミュ 活用モデル
概 要 活用イメージ
1.バックオ フィス連携
利用者本人から事前に同意を得た上 で、民間事業者が必要に応じて市町 村等から本人の情報を確認する。
●終身年金保険における保険者の生存情報の確認
(住民票等の取得)
●激甚災害時における保険金受取人や相続人等の確 認(戸籍情報等の取得)
2.公的個人 認証サービス の民間拡大
個人番号カード内の本人情報(氏 名、住所、生年月日、性別)を用い て、利用者本人の操作によりオンラ インで利用者の本人確認を行う。
●オンラインでの銀行口座等開設時における(法令 に基づく)本人確認
●年齢や性別の確認が必要な物品・サービス(酒類 等)のオンライン購入時の資格確認 3.マイ・ポ
ータルからの 自己情報の提 供
利用者本人の操作により、個人番号 カード内に無い自己情報をオンライ ンで民間事業者へ提供する。
●勤務先や健康保険組合において、被扶養者を認定 するための世帯情報
●住宅ローン等の審査に必要な所得情報の提出
4.民間事業 者からの通知
民間事業者から利用者(契約者等)
のマイ・ポータルへ各種情報の通知 を行う。
●電気、ガス、水道等の検針情報、請求書情報等の 通知
●生命保険等の契約内容や保険料支払証明書等の通 知
5.Webサイト 間連携
民間事業者のWebサイトにおいて、マ イ・ポータル関連サービスを提供す る。
●検索ポータルの個人用ページの一部でマイ・ポー タルの情報を提供
54
レーションモデルを構築し、「利用者設備」「民間事業者設備」「行政機関設備(マイポー タル含む)」の 3 か所が重大なセキュリティホールになる可能性があることを明らかにし た。本節では、それぞれの設備に対するリスク評価を実施した。
リスク評価基準として一般的に認知されている Information Security Management System(以下 ISMS15)(JIS Q 27001 (ISO/IEC 27001))を利用した。ISMS は一般財団法人 日本情報経済社会推進協会(JIPDEC)が管理する ISMS 適合性評価制度であり、ISO(国際 標準化機構)と JIS(日本工業規格)の両方で制定された唯一のリスク評価基準である。
また情報処理推進機構(IPA)や JPCERT(Japan Computer Emergency Response Team Coordination Center)などの情報セキュリティ組織として著名な団体も運用ガイドを案 内するなどデファクトスタンダードとして位置づけられている。
ISMSとは組織(企業、部、課など)における情報セキュリティを管理するための仕組み のことで、各組織の情報資産に対する様々なリスクについてリスクごとの技術的な対策を 定めるだけではなく、組織によるリスク評価に基づいて必要なセキュリティ対策を講じ、
システムを運用することを定める基準となるものである。
リスク値の算出についてはJIS Q 27001 (ISO/IEC 27001)において以下の算出式を用い ると案内されている16。
リスク値 = 「資産の価値」 × 「脅威」 × 「脆弱性」
「資産の価値」について、今回はマイナンバーそのものである。本来は各個人ごとにマ イナンバー自体の価値が異なるがリスク評価をシンプルにするためにリスク評価の前提条
件として全てにおいてマイナンバーの資産価値として定数の1とする。
「脅威」について事故の発生頻度で比較。「高」「中」「低」でそれぞれスコア「3」
「2」「1」とする
「脆弱性」について技術的難易度「高」「中」「低」をそれぞれスコア「1」「2」「3」
とする。リスク値の早見表例を図4-4に示す。
55
図4−4 出所:ISMSユーザーズガイド15例えば、「脅威」が「ID詐称」の場合では事故の発生頻度が「高」となるため、スコア
「3」とする。「脆弱性」が「付箋紙にマイナンバーを記載」とすると技術的難易度をが
「低」であるためスコアは「3」となる。「資産の価値」は上述の条件を適用し「1」とす ろと、以下の算出に従ってリスク値は「9」となる。
リスク値 = 「1」 × 「3」 × 「3」 = 「9」
脅威スコア基準について日米韓の情報漏洩事故の頻度より推定した結果を表4−4示す。
表4−4 脅威スコア基準
この結果から、脅威種別として「ID詐称」について発生する割合が61%と高かったこと から脅威頻度「高」でスコア3とした。同様に発生頻度として発生する割合10%以上の
「ハッキング」と「盗難」2を発生頻度「中」でスコア2とした。それ以下の「対策不備」
「内部犯」をスコア1とした。
脆弱性スコア基準について日米韓の情報漏洩事故の頻度より推定した結果を4−5に示す。
脅威種別 (Threat Type)
ハッキング 盗難 ID 偽称 対策不備 内部犯 Total
米国 6 5 3 2 0 16
韓国 3 0 2 0 2 7
日本 0 1 30 1 2 34
Total 9 6 35 3 4 57 割合 16% 11% 61% 5% 7% 100%
頻度 中 中 高 低 低 ―
スコア 2 2 3 1 1 ―
56
表4−5 脆弱性スコア基準この結果から技術的難易度の高い「ハッキング」等を技術難易度「高」でスコア1とし た。同様に「ID詐称」でも内部犯が関連するなどの場合は技術難易度「中」でスコア2と した。単なる「ID詐称」の場合は技術難易度「低」でスコア3とした。
表4−4と表4−5で示した基準に基づき行ったリスク評価の結果を4−6示す。
表4−6 リスク評価 技術的
難易度
説明 スコア
高 ハッキングや APT (Advanced Persistent Threat)と呼ばれる
標的型攻撃などの高度な攻撃手法が用いられる場合 1
中
ID 詐称(なりすまし)に起因した事故であるが計画的に内部に 侵入した場合や他での盗難による情報を活用するなど計画性が 高い場合や、犯罪組織の関与している場合
2
低
ID 詐称によるなりすまし、音声の模倣、WEB 上で情報が一般の 人間でもアクセスできる状態である場合。盗難(パソコン、ハ ードディスク、USB などの各種記憶媒体)や単なる対策不備の 場合
3
場所 対象 脅威 スコア 脆弱性 スコア
リ ス ク 評 価
利用 者
利用者 ID 詐称
3
個人番号が目につき易い所にあ る。
例)付箋紙を PC や机に張る等
3 9
操作ミス 1 知識不足など 3 3
個人番号 カード
ID 詐称(なりすま
し) 3
・紛失
例)路上に落とす。電車等に忘 れる
3 9 盗難 (カード自
体、鞄や財布など に入れていた場合 など)
2
・保管場所がセキュアでない。
・不用意な管理
3 6 他人のカードを利
用したなりすまし 3 ・保管場所がセキュアでない。
・不用意な管理 3 9
アングラサイト等
での個人番号購入 1 信頼できないサイト等への容易な
個人番号情報提供 2 2
FB 等の SNS からの
情報漏洩 1
不用意な情報アップロード
2 2
57
電子証明 書パスワ ード
ソーシャルエンジ ニアリング
(ゴミ箱拾うな ど)
1
付箋紙等に書いたパスワードを安 易にゴミ箱に捨てる
3 3 パスワードクラッ
ク 1 推測容易(誕生日など)なパスワ
ード設定 2 2
アクセス する端末
(PC,タブ レット,スマート フォン)
マルウェア感染
ハッキング 2
OS やソフトウェアのパッチ未適用 バージョンアップ未実施
脆弱性対策未実施
2 4 盗難 2 ・保管場所がセキュアでない。
・不用意な管理 2 4
ソフトウ ェア
(PC,タブ レット,スマート フォン用)
マルウェア感染
ハッキング 2
OS やソフトウェアのパッチ未適用 バージョンアップ未実施
脆弱性対策未実施
2 4 盗難
2
・保管場所がセキュアでない。
・不用意な管理 2 4
民間 会社
民間会社 従業員
内部犯
2
・入社時の人物評価の精度 (道徳や倫理観)
・入退室などのアクセス制限
・システムに対するアクセス制限
1 2 マイ・ポ
ータルと の インター フェース のシステ ム
マルウェア感染 不正侵入(ハッキ
ング) 2
OS やソフトウェアのパッチ未適用 バージョンアップ未実施
脆弱性対策未実施 1 2
他で入手した個人 番号で従業員がア クセス
2
・入退室などのアクセス制限
・システムに対するアクセス制限 2 4 対策不備
(DB が容易にアク セスできる状態な ど)
1
・セキュリティ監査の精度
3 3
盗難
(リスト、パソコ ン、磁気テープな ど)
2
・保管場所がセキュアでない。
(キーロックなどが未実施)
2 4
紛失 2 ・持ち運びや保管方法の徹底 2 4
ID 詐称 3 ・偽物のサイトの存在 2 6
自治 体 情報 保有 機関
(市 町 村)
・住 基ネ ット
職員 内部犯
1
・入社時の人物評価の精度 (道徳や倫理観)
・入退室などのアクセス制限
・システムに対するアクセス制限
1 1 自宅 PC マルウェア感染
ハッキング 2
OS やソフトウェアのパッチ未適用 バージョンアップ未実施
脆弱性対策未実施
2 4 住基ネッ
ト 住基ネットで省庁及び自治体が構築したシステム及びネットワークでは情報 漏洩事故が発生しなかったことから今回も安全と仮定する。
注)事故が 100%発生しないということではない。
LGWAN ― マイポー
タル