マイナンバーを守るための対策とは? - ペンタセキュリティ

情報セキュリティ業界において「セキュリティはチェーンのようで、このチェーンの強度は、最も弱い部分の強度で決まる」と言われることが多い。これは、情報セキュリティ全体を構成するすべての要素が高レベルで維持することが不可欠だということを表している。つまり、システムのセキュリティのレベルは、最もセキュリティのレベルが低い部分によって評価されてしまうため、そこを攻撃されると、システムの全体がダメになってしまうというわけだ。同社は、個人情報の保護における最も弱い部分はDBAとセキュリティ管理者の職責分離と指摘している。

○アクセス制御はデータベースの管理者を新設する必要がある

「個人情報に対しアクセス制御を行っていれば、すべての問題が解決されるのか?」と言われれば、一概にそうとも言い切れない。代表的な情報セキュリティの手法には「暗号化」と「アクセス制御」の2つがある。暗号化とアクセス制御はセキュリティのアプローチが明確に異なるため、両者は相容れない存在となっているという。

アクセス制御のソリューションのベンダーは、当然ながら暗号化と比べてアクセス制御のほうが優位であると主張する。アクセス制御は、暗号化に比べて、構築および導入の簡単さからシステムの可用性が高く、アカウント別に情報へのアクセス権限を付与又は遮断することで、情報漏えい事故を未然に防ぐ効果があるというのが言い分だ。