機密情報は生体認証で守る! - お手軽情報漏えい対策のご紹介 - 株式会社ディー・ディー・エス 東日本営業部 サブリーダー 新田 洋介 Copyright 2015 DDS,Inc. All Rights Reserved. アジェンダ 1. 現状:多発する情報漏えい事件 2. マイナンバー対策としての生体認証 3. 指紋認証ソリューションのご紹介 4. 認証ソリューション EVEシリーズのデモ 5. 市場の状況と導入実績 6. まとめ:生体認証の魅力 Copyright 2015 DDS,Inc. All Rights Reserved. 1 現状:多発する情報漏えい事件 第三者による不正ログインによって引き起こされる情報漏えい事件は後を 絶たず、対策が求められています。 Copyright 2015 DDS,Inc. All Rights Reserved. 2 情報漏えい事件の発生状況 後を絶たない情報漏えい事件、発生した場合は大きなコストを支払い う必要があります。 情報漏えい事件の発生状況と対応コスト インシデント件数:1 ,3 8 8 件 漏えい人数:9 2 5 万 2 3 0 5 人 一件あたりの漏えい人数:7, 0 3 1 人 想定損害賠償総額:1 ,4 3 8 億 7 ,1 8 4 万円 一件あたりの平均想定損害賠償額:1 , 9 2 6 万円 出展:JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会) 2014/12/25 公開『2013年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~』 Copyright 2015 DDS,Inc. All Rights Reserved. 3 漏えい発覚後の事後対応例 企業 事業概要 概要 判明したタイミング 漏えいした情報 漏えいした件数 手口 事件詳細 対応 再発防止策 結果 インベスター・ネットワークス株式会社 株式会社ベネッセコーポレーション 株主優待の代行サービス。株主・投資家調査、アニュアルレポート制作などのIR支 通信教育、出版事業。 援。 株主を対象とした電子・ポイントサービス「株主ポイント倶楽部」「株主倶楽部」から 業務委託社員による転売目的でのデータ盗用。 個人情報が漏えい。 2015年 4月上旬 2014年 4月 氏名、性別、生年月日、郵便番号、住所、電話番号 保護者様または子供の名前・性別・生年月日・続柄、 氏名、住所、性別、生年月日、電話番号、メールアドレス FAX番号(登録者様)、出産予定日(一部のサービス利用者のみ)、 メールアドレス(一部のサービス利用者様のみ) 12,014件 28,950,000件 内部犯行 内部犯行 ■ベネッセのシステムを手掛ける株式会社シンフォームから業務委託を受けた会 社の社員にアクセス権を付与。 ■クライアントの株主から「迷惑メールが入った」とクレームが入り発覚。 ■外部記憶媒体の接続制限はかけていたが、私物スマートフォンには制限がな ■サーバーログの解析により、外部から本サービスサイトへの不正アクセスによる く、データを持ち出された。 当該データが抜き取られた形跡はなかった。 ■ログの定期的なモニタリングをしていなかったため気付けなかった。 ■社内システムに関する調査結果からも社内から当該データが漏えいしたと判 ■14年6月27日に顧客からの問い合わせにより、顧客情報が社外に漏えいしてい 断。 る可能性を認識。 ■調査の結果情報漏えいと判断。14年7月7日に会見を実施。 ■刑事告訴を行い14年7月17日に犯人逮捕。 主要な迷惑メール配信業者に迷惑メール送付防止を訴える。 ■お客様本部を設置。 ■被害者に500円の金券を配布。 ■財団法人「ベネッセこども基金」の設立。500円金券の代わりに寄付を募る。 1. システム セキュリティ・システム運用における緊急施策を 実施。 ・日本最大級の情報セキュリティ専門会社(株式会社ラック)に監査を依頼。 1. 社員教育の徹底と管理 ・アクセス権限の見直し、パスワード管理強化 ・社員に対する情報管理および業務フローの徹底。 ・端末へのダウンロード監督者の設置、アクセスログの監視設定の強化 ・サイバーテロ、個人情報犯罪、不正防止のセミナーを定期的に実施。 ・執務スペースへの私物である電子機器、記録媒体の持ち込み禁止 ・情報管理に関するリテラシーの強化を継続。 ・監視カメラを導入 2. ファシリティーの強化 2. グループ全体の情報管理体制・組織改革 ・オフィスエリア、サーバーエリアに監視カメラを 導入。 ・データベースの管理をベネッセホールディングスに移行。 ・24 時間体制の映像記録とデータの一定期間の保管を実施。 ・データの保守運用に関して新規設立する合弁会社(ラックと出資)に移管。 3. システム のセ キュリティ強化 ・マーケティング活動等のためのデータベースの活用を厳密なルールの上で実施。 ・外部メモリへのコピーが物理的に不可能な構造を構築。 3. データベースの利用規制 ・シンクライアント、VDI等を活用した仮想環境を活用した業務フローの改善。 ・マーケティング活動等のためのデータベースの活用を厳密なルールの上で実施。 4. データベースの保守・運用業務の外部委託 ・グループ外への業務委託を禁止。 1.業績の大幅悪化 1. クライアント企業にお詫び対応を 強いる 情報セキュリティ対策費260億3900万円を特別損失として計上。 ロート株式会社などは被害者であるにも関わらず、膨大な工数を割いて顧客への 結果、当期純利益が107億500万円の赤字(前期は199億3000万円の黒字)。 お詫びと対応を実施。多大な迷惑をかける。 ・ロート/アルデプロ:500円金券 2. シンフォーム の解体 ・サンリオ:1000円金券+ピューロランド入場券 1987年から20年以上岡山で活動してきたシンフォームが一夜にして解体。 ・ゴルフダイジェスト・オンライン:3000クーポン 従業員約500名が路頭に迷うことに。 Copyright 2015 DDS,Inc. All Rights Reserved. 4 マイナンバー対策としての生体認証 特定個人情報(マイナンバーをその内容に含む個人情報)は非常に重要 な情報であり、ガイドラインに従い漏えい対策が求められます。 Copyright 2015 DDS,Inc. All Rights Reserved. 5 ガイドラインで定められた「適切な管理」とは 「基本方針の策定」「取扱既定等の策定」と4つの安全管理措置に取り 組む必要があります。 安全管理措置 取組内容概要 基本方針の策定 事業者が特定個人情報の適正な取扱いの確保について、組織の 基本方針を策定し従業員に周知徹底。 取扱既定等の策定 取扱い事務の流れを整理し、特定個人情報等の具体的な取扱い を定める取扱い規定等を策定。 組織的安全管理措置 「安全体制の整備」「取扱既定などに基づく運⽤」「情報漏洩 等事案に対応する体制の整備」などを策定。 人的安全管理措置 「事務取扱担当者の監督」「事務取扱担当者の教育」等の人的 な対策を実施。 物理的安全管理措置 「危機及び電子媒体等の盗難の防止」「電子媒体等を持ち出す 場合の漏洩等の防止」など物理的な対策を実施。 技術的安全管理措置 特定個人情報を扱うシステムに対して「アクセス制御」「外部 からの不正アクセスの防止」「情報漏洩の防止」を実施。 Copyright 2015 DDS,Inc. All Rights Reserved. 6 マイナンバーの経路と対策ソリューション概要 各企業はマイナンバー対策として様々な製品・サービスを提供していま すが、その中でも認証セキュリティとログが重視されています。 マイナンバー(個人番号) の流れ 通知 取得 回収 登録・利用 保管・廃棄 調書作成 税務署 従業員 (パート・アルバイト含む) 保有主体 自治体 (市区町村) 税理士 人事・総務・経理責任者 扶養家族 ソ リ ュ ー シ ョ ン 物理 セキュリティ 自治体(市区町村) 年金事務所 従業員以外の支払対象者 (顧問・個人事業主など) 社労士 委託業者 情報 セキュリティ 照合 健保組合 その他機関 情報漏洩対策ソリューション (生体認証、ICカード認証、シングルサインオン、など) ネットワークセキュリティソリューション (メール、ファイヤーウォール、IPS、など) ログ収集・管理ソリューション 暗号化ソリューション、セキュリティ診断、フォレンジックサービス データ消去サービス 入退室管理システム 端末回収・破砕サービス 人事給与システム 業務支援 収集サービス 収集代行サービス 会計システム ワークフローシステムシステム 収集・管理代行サービス 教育サービス(社員向け説明、など) マネジメント コンサルティングサービス(システム調査・業務見直し・管理体制見直し、など) リスクマネジメント(Pマーク、ISMS取得、など) Copyright 2015 DDS,Inc. All Rights Reserved. 7 指紋認証ソリューションのご紹介 生体認証方式の中でもコストと精度に優れた指紋認証を利用した情報漏 えい対策をご紹介します。 Copyright 2015 DDS,Inc. All Rights Reserved. 8 DDSの生体認証ソリューション DDSは生体情報を用いて個人認証を行い、第三者による不正利用(な りすまし)を防止するためのシステムの開発・販売を行っています。 Copyright 2015 DDS,Inc. All Rights Reserved. 9 製品ラインナップ(ソフト・ハード) 認証システム「EVE」シリーズと、独自アルゴリズムを採用した自社開発 の指紋認証ユニット「UBF」シリーズを提供しています。 認証ソリューション(ソフトウェア) 指紋認証ユニット(ハードウェア) •指紋認証ソリューション •SQL Server による ユーザー 管理 •指紋、ICカード、静脈など、多 要素認証ソリューション •Active Directoryと完全連携 Standalone Edition •サーバ不要で1名から指紋認 証を利用可能なスタンドアロン 製品 •お客様が開発されたシステム へハイブリッド指紋認証を組み 込むことができるソフトウェア・ ディベロップメント・キット Copyright 2015 DDS,Inc. All Rights Reserved. UBF-neo 据え置きPCの利用に最適な ケーブルタイプのユニット UBF-Tri モバイルPCに直差しで利用可能な 携帯に優れたユニット 10 他社指紋認証との差別化 独自の認証アルゴリズムで高精度・高品質を実現しています。 マニューシャ方式 周波数解析法を用いた方式(DDS独自) 指紋の盛り上がった部分(隆線)の短点や分岐点の属 性とそれらの相対的な位置関係を特徴情報として捉え る。 指紋の断面の凹凸を波形とみなし、1指から数百ライ ンの波形情報を取得。さらにその波形情報から個人の 特徴を強調した特徴量を抽出します。 • 一定範囲数の特徴点抽出の為、特徴 点の少ない人・多い人は登録ができな い(2~5%の人) • 特徴点抽出を利用しない認証方式の 為、登録成功率100%の実現 • 手荒れやひび割れが原因で発生する 特徴(偽マニューシャ)により、正しい 認識が不可能になる恐れがある • 指紋入力作業にさほど厳格性を要求 しない • 数百ラインの波形情報から判定する 為、手荒れで部分的にひび割れた指 にも影響を受けにくい • 経時変化に対応しており、安定した認 証性能を維持 Copyright 2015 DDS,Inc. All Rights Reserved. 11 日米特許取得「ハイブリッド指紋認証方式」 ハイブリッド指紋認証 マニューシャ方式 (一般的なアルゴリズム) 指紋紋様の端点などの点情報を 特徴量情報として利用 【長所】 指紋入力作業にさほど厳格性を要求しない。 優れた検索性 【短所】 2~5%の人が利用できない 手あれ、傷など指の状態に大きく左右される 2つのアルゴリズムの 優位性を融合 汎用性の高いアルゴリズム 周波数解析法を用いた方式 (DDS独自のアルゴリズム) 指紋の凹凸から特徴量を抽出 【長所】 100%の登録率で誰でも登録可能 高速な照合が可能 【短所】 比較的丁寧に入力する必要がある 『誰でも使える』 『格段に使いやすい』 を実現 ITセキュリティなどシステムなどの厳格なユーザ 認証システムに向いている Copyright 2015 DDS,Inc. All Rights Reserved. 12 なぜパスワード管理ではダメなのか 多くの企業が採用しているパスワード認証は管理工数がかかる割に情 報漏えい対策として十分ではありません。 システム管理者 管理業務工数の負担が大きい • 様々な情報システムはパスワードによって守られていますが、パスワードは運用 によってリスクが大きくなる。簡単になりすまし可能なポリシーのケースが多い。 • セキュリティレベルを上げるためには運用ルールを徹底する必要があるが、厳 密にすればするほど利用者からの問合せ対応やパスワードの再交付など業務 負担が増加する。 利用者 パスワードの記憶負担が大きい • パスワードは個人の記憶に頼るものなので、複数のパスワードを記憶するのには 限界があり、また、同じパスワードを継続利用するのはきわめて脆弱なため本人 による変更や定期的な変更を義務づける必要がある。 • これにより個人の記憶負担が増加し、パスワードをメモしたり、忘れて管理者へ の問合せる等、業務効率の低下の原因になる。 経営者 管理コストが増加する • セキュリティ確保のためにパスワード運用を徹底すると、教育や運用監視が必 要となり業務効率が低下する。 • 人員補充や既存システムの見直しなどが発生し、結果として管理コストの増加 に繋がる。 Copyright 2015 DDS,Inc. All Rights Reserved. 13 指紋認証システムの導入効果 指紋認証システムを導入することで、以下3点が実現します。 1.企業のセキュリティ向上 • 生体情報を用いて第三者による不正ログイン(なりすまし)を完全に防止します。 • いつ誰が利用したか、確かな証跡を残すことができるため、犯罪を抑止します。 2.利用者の利便性向上 • Windowsログインに加えて、業務システムやWebサイトへ指1本でログイン可能に なります。 • パスワードを記憶・入力する手間から解放され、業務効率を高めます。 3.管理者のコスト削減 • 利用システムの設定・指紋登録は管理ツールで簡単に行うことができます。 • パスワード忘れやICカード紛失への対応が不要となり、管理コストを大幅に削減 可能です。 Copyright 2015 DDS,Inc. All Rights Reserved. 14 認証ソリューション EVEシリーズのデモ 指紋認証を利用した認証ソリューション「EVE MA」のデモをご覧入れます。 Copyright 2015 DDS,Inc. All Rights Reserved. 15 市場の状況と導入実績 指紋認証市場の成長と、そこにおける当社の市場シェアをご紹介します。 Copyright 2015 DDS,Inc. All Rights Reserved. 16 セキュリティ対策は今が旬 情報漏えいの脅威拡大により企業の対策投資が活発化しています。 脅 威 の 拡 大 積 極 的 な 対 策 投 資 ※ 1 機密情報の増加 • 個人情報よりも更に慎重に取り扱う必要がある「個 人番号(マイナンバー)」の登場。 犯行手段の多様化 • • 標的型攻撃からなりすましまで多様化する手法。 個人情報闇市場の活性化と内部犯行の増加。 予算拡大 • 情報セキュリティ関連投資額を増額する企業が14 年は31.4%と過去3年で増加傾向。 • セキュリティ人材は過去3年間毎年不足(83.7%)し ているが採用は現状維持。 ► 「簡単で高性能な製品」のニーズ拡大。 • 支社、支店、そして海外へ、また連結から非連結と 本社から離れるにつれて統制が甘くなる。 ► グローバル企業。大企業ほど対策が急務。 • 各社が社内で「CSIRT※2」 の立ち上げを加速。 ► 認証製品の認知が向上する。 人材不足 グローバル統制不足 ※1. 資料中の数値はNRIセキュアテクノロジーズ『企業における情報セキュリティ実態調査2014』を参照 ※2. Computer Security Incident Response Teamの略。企業や公的機関においてセキュリティ上の問題を監視し、問題が発生した場合の対応全般を行う組織。 Copyright 2015 DDS,Inc. All Rights Reserved. 17 認証市場における指紋認証のシェア PC認証市場は現時点ではICカードが中心ですが、今後は生体認証の 大幅な成長が見込まれています。 PC認証要素市場シェア※1(13年) PC認証要素成長率(対13年比) 145% 4% 140% 9% 135% 130% 14% 静脈認証 指紋認証 認証ソフトウェア 125% USBトークン 120% ICカード 115% 73% 生体認証 USBトークン ICカード 110% 105% 100% 2013 • ICカードは社員証を利用できることもあり、14年の年間出荷台数は 約100万台と生体認証に対して非常に多い。 • 生体認証では価格と使い勝手が評価され指紋認証が約12万台と静 脈認証の約6万台に対して約2倍の出荷実績を誇る。 2014 2015 2016 2017 2018 • 認証ソフトウェアは堅調に成長、認証要素としては指紋・静脈の生体 認証の成長が著しい。 • 一方でICカードやUSBトークンのような物理認証要素の成長は鈍化し、 生体認証に切り替わることが想定される。 出展:富士キメラ総研 『2014ネットワークセキュリティビジネス調査総覧』 ※1. n=認証端末出荷数1,407千台(2014年度) Copyright 2015 DDS,Inc. All Rights Reserved. 18 生体認証が注目を集める理由 セキュリティ対策のスタンダードは「生体認証は過剰」から「生体認証で なければならない」へとシフトしつつあります。 生体認証の評価ポイント 概要 紛失の恐れが無い ICカードやその他物理的な認証要素は導入コストで生体認証に勝る が、紛失の恐れや回収・再発行業務が面倒であり、管理者の負担 を軽減するとは言い難い。生体認証であれば業務効率化にも貢献 できる。 なりすましを 完全に抑制 貸し借りが不可能なため、確実な本人認証が可能になる。特に指 紋はその他の生体認証に比べてどのような環境下でも認証精度が 落ちない点が評価をされている。 内蔵PCの普及 生体認証の中でも特に指紋認証センサを標準搭載したPCが出回 り始めており、認証デバイスを別途購入しなくとも認証ソリューション を利用できる機会が増えている。 スマートフォンにおける 指紋認証の普及 iPhoneやGalaxyなど指紋認証センサを標準搭載したスマートフォン が普及しており、利用者の生体認証に対する抵抗感が払しょくされ ている。 マイナンバー対策 地方自治体においては大量の特定個人情報を取り扱うため、物理 デバイスによる認証よりも生体認証が推奨されている。 Copyright 2015 DDS,Inc. All Rights Reserved. 19 生体認証方式の比較 生体認証の中でも、DDSが開発・提供している「指紋認証」は、他の認 証要素に比べて顧客が導入しやすい方式です。 各種認証方式における指紋認証の優位 認証方式 精度 サイズ コスト 指紋認証 ○ ◎ ◎ • 生体認証採用率トップ • 安定した精度と低コスト 静脈認証 ○ ○ △ • 非接触のため公共で利用 • 高精度だがコストも高い ◎ • PC/スマホのカメラを利用可能 • 手軽だが精度に難あり 顔認証 △ ◎ 認証方式 虹彩認証 ○ ◎ △ • 実用化された製品が無い • 高精度だがコストも高い 音声認証 × ◎ ◎ • PC/スマホのマイクを利用可能 • 手軽だが精度に難あり Copyright 2015 DDS,Inc. All Rights Reserved. 20 指紋認証市場におけるDDSのシェア 指紋認証のリーディングカンパニーであるDDSは競合を抑えて国内認 証デバイス出荷台数No.1を達成しています。 指紋認証製品の市場シェア 17% 33% DDS B社 13% C社 D社 14% その他 23% 出展:富士キメラ総研 『2014ネットワークセキュリティビジネス調査総覧』14年度指紋認証端末出荷台数見込み Copyright 2015 DDS,Inc. All Rights Reserved. 21 導入事例ご紹介 導入先 ユーザー数 用途 通販会社 2,000 指紋でコールセンター端末のWindowsログオン認証、基幹システムのログイン認証 機械販売 4,000 指紋でWindowsログオン認証、業務システムのログイン認証 医療機器販売 50 ICカードでWindowsログオン認証、ポータルサイトや業務システムのログイン認証 流通業 50 指紋でSAPへのログイン認証 製造業 100 指紋でWindowsログオン認証、ポータルサイトや業務システムのログイン認証 通信大手企業 60,000 指紋でコールセンターの顧客情報システムのログイン認証 通信大手企業 12,000 指紋でWindowsログオン認証、シングルサインオン認証 病院 600 指紋でWindowsログオン認証、電子カルテシステムのログイン認証 病院 2,500 PC内蔵の指紋センサーを使って電子カルテシステムのログイン認証 金融・サービス 4,000 指紋でWindowsログオン認証、ポータルサイトでのログイン認証 生命保険業 6,100 指紋でWindowsログオン認証、基幹システムのログイン認証 官公庁 5,000 指紋でWindowsログオン認証、電子県庁システムのログイン認証 官公庁 1,600 指紋でXen Appのログイン認証 官公庁 600 指紋でWindowsログオン認証 政令指定都市 15,000 指紋でWindowsログオン認証、ポータルサイトや業務システムのログイン認証 地方自治体 2,000 指紋でシンクライアント端末のログオン認証 地方自治体 800 ICカードでWindowsログオン認証、基幹システムのログイン認証 地方自治体 100 指紋で窓口端末のWindowsログオン認証、基幹システムのログイン認証 Copyright 2015 DDS,Inc. All Rights Reserved. 22 まとめ:生体認証の魅力 Copyright 2015 DDS,Inc. All Rights Reserved. 23 生体認証の魅力 生体認証は利用者に「パスワードレス」の利便性を感じて頂きながら、 同時にセキュリティを強化できるソリューションです。 マイナンバー対策として 何から取り組めばよいか悩ん でいたけど、生体認証の抑止 効果で内部不正を防げそう! 指紋認証なら「なりすまし」を 完全に防止できるから安心! セキュリティ (マイナンバー対策) 利便性 面倒だったID/PASSを 記憶・入力する手間から 解放されて嬉しい! 運用負荷 軽減 利用者の登録も端末・シス テムの登録も簡単! 利用者からの問い合わせ対 応工数も激減して助かる! マイナンバー対策をきっかけに、 是非生体認証による情報漏えい対策をご検討ください。 Copyright 2015 DDS,Inc. All Rights Reserved. 24 ご静聴いただきありがとうございます。 Copyright 2015 DDS,Inc. All Rights Reserved. 25
© Copyright 2024 ExpyDoc
