マイナンバー制度施行で重要度を増す
「統合脅威管理(UTM)」
キホンと勘所
〜社内外に潜む脅威から
会社とマイナンバーを守るために 〜
マイナンバーのセキュリティ対策にお悩みの方、必見!
早わかり!
C o n t e n t s
目次
1.厳しい罰則のマイナンバー 脅威を増すサイバー攻撃 2.マイナンバー制度施行で重要度を増す「UTM」とは 3.UTMの押さえておくべき勘所 ! 4.ファイアウォールとUTMの違い 5. 社内外のリスクから会社とマイナンバーを守る! 「Cloud Edge あんしんプラス」とは 会社概要 TM1
厳しい罰則のマイナンバー!
脅威を増すサイバー攻撃
3 ●マイナンバーの保護対策としてのセキュリティとは? マイナンバー制度で、企業規模や業種を問わず、従業員などのマイナンバーを取り扱うこ とが義務付けられました。 マイナンバーを含む特定個人情報は名寄せなどが行われるリスクがあることから、個人情 報よりも一段上の厳しい管理体制が求められ、情報漏えいに対する罰則が強化されていま す。たとえば、もっとも重い罰則は「4年以下の懲役または200万円以下の罰金」もしく はその両方を科せられます。収集から保管・利用・提供・破棄に至るまで、徹底した厳格 な管理は必須です。 企業におけるマイナンバーの管理方法は、ガイドラインに定められていますが、ガイドラ イン自体も例示が全てではなく、環境に応じて必要な対策を講じるように促しています。 つまり、企業は現在のセキュリティ上のリスクと照らし合わせて、独自に十分な対策を考 慮し、マイナンバーを守っていかなければなりません。 しかし、昨今では企業が管理する特定個人情報を含む機密情報を狙った「標的型サイバー 攻撃」の手口が巧妙化し、高度で執拗な脅威となっています。脅威の例として、悪意のあ る第三者が関係者を装って標的型メールを仕掛け、閲覧した従業員のPCに不正プログラム を感染させ、巧妙かつ悪質な手口で不正なサイトに誘導する手口があります。遠隔操作ウ イルスに感染したPCが外部のC&Cサーバ(攻撃指令サーバー)を介して攻撃者にリモー ト操作され、社内の情報が外部に持ち出されてしまう被害が多発しているのです。 これらを踏まえ、マイナンバー対策・ネットワークセキュリティ強化への有効な選択肢と してご紹介したいのが、UTM(統合脅威管理)です。2
●UTMのキホン〜マイナンバーの保護対策として注目される理由〜
UTM(Unified Threat Management;統合脅威管理)とは、コンピュータウイルスや ハッキングなどの脅威からネットワークを効率的かつ包括的に保護する管理手法です。 マイナンバーを狙う犯人は、標的型サイバーをはじめ様々な手段を組み合わせて機密情 報を盗み出そうとすることが予想されます。「アンチウィルスソフトやファイアウォー ルのセキュリティ製品を導入しているから我が社は大丈夫」と考えている方もいるかも しれませんが、それだけで十分とは言えません。サイバー攻撃は手口が複雑化している ことから、対策箇所が多岐にわたるため、いくつものセキュリティ対策を組み合わせた 「多層防御」が必要となります。 UTM製品には、Webフィルタリング、アンチウィルス、アンチスパイウェア、IDS(不 正侵入検知)/IPS(不正侵入阻止)など複数のセキュリティ機能が統合されているため、 1つの製品で巧妙化する様々な攻撃から企業ネットワークを守ることが可能になります。 従来型のファイアウォール製品とは一線を画す、豊富なセキュリティ機能を備えている のが特徴です。UTMは製品によって、セキュリティコンセプトや特長がそれぞれ異なり ます。以下は高く評価されているUTM製品の搭載機能の一例です。
マイナンバー制度施行で重要度を増す「UTM」とは
・ウイルス・スパイウェア対策、不正プログラム対策 ・危険・不正なWebサイトへの接続遮断 ・組織に不要なサイト(例 違法・アダルト等)への接続予防 ・不正侵入防御 ・C&Cサーバ通信の検知と遮断 ・ファイアウォール機能 ・セキュリティ機能の設定、ログ分析、レポーティングC o n t e n t s
3
UTMの押さえておくべき勘所
5 ●UTM製品の特長、導入メリット 個別にセキュリティ製品を購入し、複数のセキュリティ対策を講じる場合、導入・運 用にかかる負担は非常に大きなものとなります。また、どの製品を導入すればよいの かも悩んでしまうところです。人的リソースやコスト面などの面から、複数のセキュ リティを網羅させる対策の必要性は感じつつも、なかなか対策に踏み切れていない企 業が多いのが現状です。特に、システム担当者やセキュリティ担当者のいない、コス トをかけられない、多くの中小企業において、これらの課題は顕著に現れています。 こうした課題に対して、UTMではセキュリティ機器を個別に導入する必要がないうえ、 企業の規模や目的に応じ、巧妙化するサイバー攻撃のセキュリティ対策の強化と、コ ストダウンといった課題を双方から解決することができます。コストをかけずにひと つのハードウェアで複数機能の設定や管理を統合、様々な種類の脅威動向を管理・防 御(統合脅威管理)することが可能になるのです。 UTMは外部ネットワークと社内ネットワークの接合点に1つのハードウェアとして設 置します。他のサーバやネットワーク機器などにいちいちソフトをインストールする 必要はありません。また、複数のセキュリティ機能が統合されているため個別にメン テナンスする必要もありません。運用管理は自動化されており、機能ごとの操作性が 統一されていることなどから、「運用管理が楽になること」「導入のハードルが低い こと」もUTMの大きな特長になります。 つまり、導入から運用のランニングコストまで考えて、UTMはコストパフォーマンス の高いセキュリティ製品といえます。C o n t e n t s
4
●ファイアウォールだけでは防ぎきれない! セキュリティといえば、インターネットの接続部分でパケットと呼ばれる通信データを チェックし、接続を判定する「ファイアウォール」が定番です。しかし、ファイア ウォールは外部からの不正アクセスをブロックすることができる一方で、 内部から外部 への不正なアクセスは防御することはできません。 標的型サイバー攻撃により遠隔操作ウイルスに感染したPCは、内部から外部への不正通 信を経て、内部データが流出します。たとえば、攻撃者は悪意あるメールを標的に送信 し添付ファイルを開かせることでウィルスに感染させます。そして、C&Cサーバーに コールバック(ネットワーク内部から外部に接続)し、指令を受け取ってから攻撃を開 始。感染端末を踏み台にして社内の情報を収集し、目的の情報を搾取します。こうした 手口は、通信手段に着眼しパケットのヘッダーだけを見て、「不正な通信」を判別する ファイアウォ—ルだけでは防ぎきることはできません。また、ほとんどのファイア ウォールは、マルウェアによるC&Cサーバーへのコールバックを監視することはできま せん。ファイアウォールとUTMの違い
これに対してUTMは、メールフィルタリ ング機能や不正なWebサイトへの接続 チェック、パケットのデータ部分も参照 した不正通信防御などで総合判断するた め、高度で執拗な攻撃を防ぐことが可能 になります。5
社内外のリスクから会社とマイナンバーを守る!
「Cloud Edge あんしんプラス」とは
●
内部・外部からの脅威に対する対策をインターネットの出入口で実現! ここで、これまでにご説明してきたUTMの特長を、すべて兼ね備えている中小企業向け ゲートウェイセキュリティマネージドサービスをご紹介します。それが、日本事務器株 式会社(以下 NJC)が提供する「Cloud Edge あんしんプラス」です。脆弱性をつく攻 撃や不正な遠隔操作、情報漏えいへの対策をインターネットの出入口で実現します。 「Cloud Edge あんしんプラス」は、接続するハードウェア(BOX)と、トレンドマ イクロのクラウド上にあるセキュリティインフラ、NJCのあんしんサポートを組み合わ せたセキュリティソリューションです。UTMとしての強力な機能はもちろん、セキュリ ティの各設定、インシデント監視、バージョンアップから月次レポートなど、面倒な管 理をNJCの総合監視センターで実施します。初期導入時のお客様作業を最小限に抑え、 サポートを付加した安心法人向けサービスです。マイナンバー制度の「安全管理措置対 策」にも有効です。 脆弱性への対策 内部からの情報漏えい対策 外部からの遠隔操作対策 TM 【NJCあんしんサポート】 ◆標準セキュリティポリシー設定 ◆ハードウェア保守 ◆監視サービス (インシデント発生報告および対処支援) ・ハードウェア死活監視 ・C&Cサーバ接続検知アラート ◆ファームウェアリモートアップデート ◆月次レポート ◆ヘルプデスクサービス TM TM 7 【トレンドマイクロ UTM】+
「Cloud EdgeTM あんしんプラス」C o n t e n t sCompany Profile
会社概要
社 名 日本事務器株式会社 (Nippon Jimuki Co.,Ltd.) 代表者 田中 啓一 創 業 大正13年2月(1924年) (昭和23年6月株式会社に改組) 資本金 3.6億円 事業内容 トータルソリューションサービスコンサルティング(経営、情報システム)/情報システム開発/情報システムの運用と 保守(システム運用、メンテナンス、監視サービス、ヘルプデスク) 従業員数 902名 (NJCグループ 1,319名) [2015年3月期] 主要納入先 地方自治体、独立行政法人、社会福祉法人、学校法人・図書館、漁業協同組合、医療法人、 健診施設、民間介護事業者、明治、マツダグループ、アサヒビールグループ、トヨタグ ループほか民間企業各社 NJCグループ 日本事務器シェアードサービス株式会社 NJCネットコミュニケーションズ株式会社 株式会社メディカル情報サービス NJCソフトウェア株式会社 本社所在地 〒151-0071 渋谷区本町三丁目12番1号 住友不動産西新宿ビル6号館10F
