マイナンバー制度始まりましたね。
全国のシステム管理者のみなさん、自社のシステムのほうの対策お済でしょうか?
すでにお済の方、対応お疲れ様でした(汗
まだの方、これから書くことが何かの参考になればと思います。
ということで、昨年後半くらいから自社のマイナンバーの対策で、システムやネットワークの変更をいろいろしまして
その辺をいろいろ書こうかと思います。
ただ、あんまり詳細に書きすぎると、そのこと自体がセキュリティ的にどうなんだ?ということもあるのでざっくり目に書かせてもらいます。
ちなみに、ここで書くのネットワークやシステムのこと中心になります。
-------
本来、マイナンバーを電子媒体で管理する場合、インターネットにつながず、社内のLANとも接続しない
というのが、正しい運用になりますが、
弊社の場合、給与を管理しているソフトがアップデート等でインターネットにつながっていることが必要なため
インターネットは許可しつつ、セキュリティを確保する、ネットワークへの変更を行いました。
具体的には
・マイナンバーを扱うPC(以下 マイナPC)は、通常業務で使用するPCとセグメントを分ける
PC自体をかぎ付きのBOXに入れ、ワイヤーロックし、直接触れないようにする。(ディスプレイやキーボードもなし)
マイナPCは、通常業務セグメントの特定のPC(以下 操作PC)からのリモートデスクトップによる操作のみとする。(L3スイッチで制御)
※リモートデスクトップはもちろんコピー不可。
マイナPCは、および操作PCはデータの暗号化、操作ログの取得。また専用のキーを接続しないと操作不可。
・マイナンバーを扱うPCのインターネット通信は、ファイアウォールで特定のURLだけに制限する。(UTMで制御)
わかりづらいので簡単な絵は↓で。
※本当は細かいことやここでは書きづらいことも含めれば他にもいろいろやりましたがここでは割愛。
文章にするとこんなもんかという感じですが、これでもかなり準備が大変で
L3でのポート指定や
許可するURLの確認で思ったより大変で、アンチウィルスのソフトの更新や、MSのアップデート等も含めると思ったよりも許可するURLが多かったり
あと、マイナンバーの話とは別にはなりますが、
マイナPCでネットバンキングも利用するため、ネットバンキングや、銀行が推奨しているフィッシング対策のソフトが使用するURLの登録
もかなり大変で、銀行から確認URLの登録だけではうまく動作せず、ファイアウォールのログを見ながら1個づつ追加していく地味で大変な作業でした、、、
何とか昨年末までにそれらしい形にまではできました。。。
ただ、実際の運用を始めると、あれができない、これができない などいろいろあって、今年に入ってからも調整の日々です、、、
実際業務で使う人からすると、リモートデスクトップだったり、認証キーが必要だったりかなり面倒なことになってしまいましたがすみません。。。
そういったのも含め、このあともうちょっと色々修正していくことになると思います。。。。
