とある父親の妄想日記 -13ページ目
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

とある父親の妄想日記

地球上で唯一、DNA以外の手段で、世代を超えて情報を蓄積する力を授かった人類。
御来たる未来(みきみく)に、一かけらの希望と奇跡を信じています。
近況:サイバー攻撃と防衛の技術について妄想してます。

<< 前ページ次ページ >>

マイナンバーのハッシュ化

パパの妄想メモです。

マイナンバーに対するセキュリティについて考えたメモです。
想いのままに書き綴った乱雑な内容ですが。。。

■マイナンバー以外の候補になる個人特定キー

マイナンバーは一人一つ1:1のエンティティを持つ、
個人を特定するための主キーの役割?


・DNA
→他人の毛髪をとることで、なりすまされないだろうか。

・静脈認証
→偽装した指などで、なりすまされないだろうか。

・虹彩認証
→高精度の画像で、なりすまされないだろうか。

・顔認証
→整形して、なりすまされないだろうか。

どれもリスクはありますね。


■マイナンバーは漏洩することを前提に考える

・一人一人がマイナンバーの管理意識を高めるための手段は?
→管理知識の普及と管理の徹底を守らせる
→盗難や漏洩された場合は、マイナンバーを変更してもらうとか。その際は、マイナンバー登録施設が番号を生成するとか。


・漏洩することを前提に対処案を考える
・なりすます人が、マイナンバーをもつことで全ての情報が取得できるようにしてはいけない、
→マイナンバーとマイナンバーに紐づく個人特定情報(例えば、氏名)を
一般の人や企業にわからないようにするなど。


・漏洩したマイナンバーによる情報変更を簡単に受け付けない、マイナンバーを再発行するなど
・なりすまされた人の救済措置をどうするか
→認証施設の人は医療カルテとかなんかの本人確認になる経路をもっておくべき。


・マイナンバーを忘れた人の認証手段
・DNAか静脈認証デバイスによる本人確認など
→そうでなければ、二経路認証やコールバック認証などと、名乗ってもらうことを組み合わせる?


・漏洩したことが判明していない時点での対処は?
→うーん。。。やっぱり漏洩を確実に検知することが重要課題かなぁ。。。
→既存の行方不明者になりすますことは可能
→同一か極めて類似した最重要個人機微情報(DNA,静脈、虹彩情報)が存在しないかの重複チェックは行う

・マイナンバーに紐づく個人情報を変更する場合
→DNAや静脈認証などで再確認する?
→情報変更前の住所に通知を送る。住所変更の際は自治体に出向いて認証、等
→認知症などの障害をもっている人でも、確実の本人確認(代理人確認)できる仕組みはあるか


■マイナンバーの管理について

・マイナンバー管理は銀行やクレカ会社の機密情報保持のノウハウを生かすとか。
→クレカなんか色々と漏れてますけどね。だけど、そういった反省は役立つ。


・マイナンバー登録施設は、国の個人情報管理局みたいな施設で一元管理する。
マイナンバー認証施設は別にする。


・マイナンバーを一元管理するコンピュータ、データベース、ネットワークは、
外部ネットワークとは接続しない業務用内部ネットワークを利用する。
→各役場とはVPNでつなげるべきか?
→定期的に登録施設からエクスポートして、認証施設にインポートする


・マイナンバー登録時は登録施設に直接出向くとか。
静脈認証、DNA、顔写真と名前などの個人情報を合わせて登録など。
→その場合、マイナンバー登録施設には専用デバイスが必要になるかも(認証時にも?)
→Skypeの面談によって確認することも考えたが、偽装できそうな気がする。。。


・企業のデータベースで保管するには、内部犯行の防止や盗まれること前提で、
マイナンバーをハッシュ化を必須にするべきでは?
→SHA2?最適なハッシュアルゴリズムは?
→認証施設とハッシュアルゴリズムを統一する必要があるのでは?
→レインボーテーブルによる正規のナンバーを逆引きされる可能性はある

・マイナンバーを素で取り扱うのであれば、マイナンバーを取り扱う事業者は、
データベースアクセスログをとる等の漏洩時対処手段をとるのかな。。
しかし、そんな予算がある企業は限られてくるでしょう。


→あるいは、公開鍵=マイナンバー、秘密鍵=本人の体 見たいな感じで
暗号化できないなのかな。。。


■いずれ必要となりそうなサービス

・企業等でマイナンバーが正当なものかを検証するための手段として、
マイナンバー認証施設の個人情報認証WEBサービス。
→但し、GETメソッドのみの実装、
マイナンバー(またはマイナンバーハッシュ)をキーに氏名や住所などを取得し、企業における本人確認で利用するなど。
→WEBサービスを利用する企業は必ず審査を受ける、クライアント証明書を必須にするなど。


・虹彩認証、静脈認証デバイスで本人確認またはマイナンバー取得


※ひとまずは、機能を少なめに。
機能やシステム・外部連携を多くすると、セキュリティ脅威が増える。



■本当に施行するの?

・国でマイナンバーと
その他の個人情報の紐付けのマスタを一元管理する場合
→国がサイバー攻撃の標的になる

・企業でも従業員のマイナンバーとその他の個人情報の紐付けを持つ場合
→セキュリティ対策の弱そうな企業がサイバー攻撃の標的になる

・マイナンバーとその他の個人情報を別々に管理する場合
→別々にサイバー攻撃を行う

うーん。。。
「標的型攻撃」も怖いけど、
「内部犯行」も怖いなぁ。

いくら法律で決めたからって。。。

企業も対応できるのかなぁ。。。


なりすまされるリスク対処の検討が足りないなら、
無理して施行しないほうがいいんじゃないだろうかね(笑)


そして。。。確実に漏洩事件やなりすましが起きると思う。。。
重要な情報ほど値がつくし、利用価値が高いので。。。
<< 前ページ次ページ >>