HOME > U+(ユープラス) > 電子自治体の行政情報化ニュース > 自治体IT革命の今日、明日 第194回 「自治体情報システム・セキュリティ強靭性向上、その3」
2016/11/14
〇2015年の情報漏洩インシデントは799件 - JNSAまとめ(JNSA 16/06/17)
http://www.security-next.com/071155
(以下、上記より編集抜粋)
インシデント件数は799件で、2014年の1138件を大きく下回る。公共機関の「公務」によるインシデントが222件と最多。「教育関連」が142件、「金融、保険」が102件、「サービス」が76件で続いた。
漏洩した個人情報は496万63件で、1293万5087件より大幅に縮小。100万件を超えるインシデントは、日本年金機構による情報漏洩事件1件のみとなった。インシデント1件あたり平均6578件の個人情報が含まれる。上位10件中に公務で発生したものが4件と目立つ。また原因を見ると不正アクセスが5件と半数を占めた。
〇日本年金機構による情報漏えい事件以降の総務省などの動向
(参照 第191回と第192回)
個人情報漏えいは地方自治体にとって最重要な課題です。上記のようなセキュリティ対策を採っても標的型攻撃による漏えい事件が起きる”ことを前提とした更なる対応が求められているようです。
◎地方自治体情報セキュリティ強靭化に対する究極の技術が秘密分散技術です。
○秘密分散法コンソーシアムのURL
http://www.sss-c.org/
昨今の不正アクセス等による情報漏えい等の事件は、既存の情報セキュリティ水準の対処だけでは、対策として不十分であることを示しています。
利便性を追求することが優先される情報管理と、法令遵守を旨としなければならない情報管理では、当然ながらその管理手法に自ずと違いが出てきます。
本当に法令を意識した情報管理においては、利便性追求の時代に生まれたセキュリティ手法だけに頼るのではなく、新たな時代の情報セキュリティ手法を積極的に取り入れるような取り組みにも、責任ある組織は目を向ける必要があります。
我々が標準化を推進している秘密分散技術(電子割符)は、組織として法令対処を想定した情報セキュリティに貢献するもので、且つ、既存のセキュリティ手法と併用することも可能な技術です。
・個人情報保護法の成立に代表されるように、企業が保管する個人情報・機密情報の取り扱い(情報セキュリティ)には、従前にも増しての厳格さが求められるようになっています。
こうしたデジタルデータをしっかり守り、強靭な情報漏えい対策(情報漏洩対策)を可能にするテクノロジーが、秘密分散技術です。
○秘密分散技術(電子割符)とは
・既存暗号技術との違い
暗号化してあっても原本とみなされるが、電子割符はごみ!?
○番号法での安全管理措置など
「自社管理」
・善管注意義務違反
・番号報安全管理義務違反
・従業者監督義務違反
−> 刑事的責任と民事訴訟
取締役訴訟対象
「外部委託」
・善管注意義務違反
・番号報安全管理義務違反
・委託先監督義務違反
−> 刑事的責任と民事訴訟
取締役訴訟対象
「対象情報を割符化して分散管理」
・法令上の定義から除外されており、事実上リスクが顕在化しない
−> 訴訟主体が存在しない <= ここが重要!
○漏えい発生時の外部評価
・平文 ・・・ 完全違反
・暗号化 ・・・ 漏えいに該当
・割符化 ・・・ 該当せず <= 〃
○法令などへの有用性
・法令上の定義項に該当しない
・訴訟(原告適格)にならない
・重大事態としての報告に至らない <= 〃
○秘密分散技術ガイドライン
http://www.sss-c.org/?p=165
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
秘密分散法コンソーシアムのメンバーではありませんが、TCSI社のPASERIも秘密分散技術です。
○PASERI
https://www.tcsi.jp/products/paseri
いくら高価なセキュリティ製品を導入しても、攻撃を防げないのが現状です。
今後は、「情報は盗まれるもの」、「情報漏えいは防げない」ことを前提にした対策が必要となってきます。
PASERIは、情報を意味のないデータに変換して分割(無意味化)した上で、物理的に分散保管することで、盗まれても情報漏洩にならない状態にします。
ユーザーが意識しないで安全を享受できる「オープン・セキュリティ」を提供する、次世代のインフラストラクチャです。
・情報漏洩事故からの解放。
データの無意味化で、守らずに安全な環境を提供
・次世代の情報漏えい対策
情報漏洩は防げないことを前提としたセキュリティ対策として、
・最後の一片が揃わなければ元データに復元できないデータを生成する
・分割データの一片を漏洩しても解読不能なデータを生成する
・さらに、データを分割し分散保管する
・必要な時に分割データを結合してシームレスに元データに復元する
・通常業務に支障をきたさない処理速度を実現する
があります。万が一の情報漏えいの際に備えて、盗まれても意味のないデータとして保管する、つまり、秘密分散技術に基づいて、データを秘匿化し分散するのがTCSIのオープン・セキュリティ ソリューション「PASERI」です。
・秘密分散とは?
秘密分散法は、1979年にRSA 暗号方式の発明者の一人として有名な米国ワイズマン研究所のシャミア教授が、一定数以上の分散化されたデータを用いない限り、元データに関する一切の情報を得ることができない方式を考案しました。
これが、秘密分散法(secret sharing)と呼ばれています。分散方式には、排他的論理和(XOR)や閾値分散法などいくつかの方式があり、その後も研究が進められています。
・AONT方式
秘密分散の一つの方式であるAONT方式は、RSA暗号の生みの親であるMITのリベスト博士が概念を考案したデータの変換方式で、元データに対してある演算をかけ、元データとほぼ同じ大きさの出力データを得ます。出力データのすべてのビットがそろっていれば容易に元データに復元することができますが、ある程度の数以上のビットが欠けると元データへの復元が不可能になるという特性を持ちます。
PASERIは、AONT方式を採用して、かつ性能面、断片ファイルのサイズの可変性、閾値分散の実現などで独自性を実現しています。
・PASERIの特徴
PASERIの特徴は、以下のとおりです。
・2〜16まで分散可能
・暗号化方式と異なり、鍵の保管、更新が必要ない
・分散片サイズの最小は1Kバイトまで可能
・分散後に増えるデータ量はヘッダ分の768バイトのみ
・一部のデータが欠けただけでも、復元できない
データの暗号化との違いは、暗号化の場合、鍵とデータは一緒になっているため、情報すべてが1箇所にあるのに対して、秘密分散法はデータが分散化しているため、個別のデータ片からはデータの復元ができないため、情報として見なさないメリットがあります。万一、漏えいしたとしても、機密情報や個人情報の扱いになりません。
・PASERIの特徴
PASERIの特徴は、以下のとおりです。
・2〜16まで分散可能
・暗号化方式と異なり、鍵の保管、更新が必要ない
・分散片サイズの最小は1Kバイトまで可能
・分散後に増えるデータ量はヘッダ分の768バイトのみ
・一部のデータが欠けただけでも、復元できない
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
セキュリティ強靭化には悩ましい問題が内在しております。財政規模の小さい小規模自治体、人材の不足している小規模自治体にとっては乗り越えられないテーマです。全国一律のこの強靭化対策は、実現の困難さが存在します。
シンクライアントと仮想化そして秘密分散技術の導入は多くの課題をクリアしそうです。
平成28年11月10日