次期自治体情報セキュリティクラウド要件とは?

こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。

今回は総務省より公表されている、”次期自治体情報セキュリティクラウド機能要件”について概要の説明から詳細の解説までを行います。次期自治体情報セキュリティクラウドを初めて聞いたという方にもご理解いただけるような記事となっています。


次期自治体情報セキュリティクラウドについて、
いま求められているセキュリティ課題と対策方法について要点をまとめた図解解説はこちら

(無料公開中)ホワイトペーパー
「次期自治体情報セキュリティクラウド - いま求められている」セキュリティ課題と対策方法


次期自治体情報セキュリティクラウドとは

「次期自治体情報セキュリティクラウド」は、国が標準要件として、最低限満たすべき事項(必須要件)及び各都道府県の要求水準に応じて導入を検討する事項(オプション要件)を提示し、民間ベンダーにクラウドサービスの開発・提供を依頼することにより、セキュリティ水準の確保とコストの抑制を図ることとしています。

参考:総務省(次期自治体情報セキュリティクラウドの標準要件の決定について(令和2年8月18日)

次期自治体情報セキュリティクラウド要件の概要

総務省より「次期自治体情報セキュリティクラウド機能要件一覧」が公表されています。4つの大分類があり29の項目があります。仕様区分として必須要件とオプション要件に分かれます。

なぜ必要なのか?

総務省が主導した「三層の対策」の一環として「自治体情報セキュリティクラウド」が策定されました。都道府県と市区町村がWebサーバー等を集約し、監視及びログ分析・解析をはじめ高度なセキュリティ対策をしています。しかし、各都道府県が短期間で設計を行ったため、水準に差があること等が指摘されています。

そこで、新たな追加要件として「次期自治体情報セキュリティクラウド」が策定されました。
今後は自治体だけでなく、民間企業に対しても「次期自治体情報セキュリティクラウド」と同等のセキュリティレベルを求めるケースも多くなってくると予測されています。

次期自治体情報セキュリティクラウド要件の主要ポイント

次期自治体情報セキュリティクラウド要件の4つの大分類とその中身についてご紹介します。

インターネット通信の監視

監視部分の要件となります。障害の切り分けや検知、通報、インシデント管理を行うことが目的です。主にサーバー監視を要件としており、Webサーバー・メールリレーサーバー、プロキシサーバー、外部DNSサーバー、構成団体ADサーバーが対象となっています。

サーバー監視は主にPingなどの死活監視、URL監視、プロトコルやhttpdなどのサービス監視があります。サーバー数や規模は都道府県や自治体により異なります。

監視を適切に行い、異常が発生した場合に迅速に障害内容を検知し、関係機関へ連絡ができる体制を整備することも重要です。

インシデントの予防

サーバー攻撃、情報流出などを対策・予防するためのセキュリティ要件となります。

クラウドとインターネットを繋ぐゲートウェイ対策、メールセキュリティ対策、メール・インターネットセキュリティ対策、Webサーバーセキュリティ対策、リモートデスクトップなどの対策が挙げられます。

対策方法として、ファイアウォールの設定や暗号化、URLフィルタを適切に設定することで外部からのアクセスを遮断します。メール対策は、スパムメールや迷惑メールを遮断するソフトウェアの導入などにより対策します。

サーバーに対してDDoS(Denial of Service attack/サービス拒否攻撃)やSQLインジェクション攻撃の対策も必要です。サーバーを冗長構成にする、CDN(Content Delivery Network)を導入するなどしてセキュリティ対策を行います。

高度な人材による監視と検知

自治体セキュリティクラウドの運用には、高度な専門知識を持つ人材が必要です。サーバー監視、セキュリティ対策を実施したうえで、監視を行う監視者についての要件です。

ログ収集・分析、イベント監視、障害発生時の1次対応、EDR(Endpoint Detection and Response)監視・運用が対象となっています。

実際の障害となると、数十件のメール通知や数千行のログから原因特定から分析まで行わなければいけません。高度なスキルを持った人材が必要となります。自治体の利用サービスは平日の日中帯がおもになるため、その時間帯は十分な人的リソースが必要となります。

対応と復旧

セキュリティインシデント発生時の対応と復旧に関する要件です。セキュリティインシデントが発生した場合、迅速かつ適切な対応を行い、被害を最小限に抑えることが求められます。

システム・サービス構成管理、脆弱性対応、不正通信検知体制、障害管理、バックアップとリストア、ヘルプデスク機能、定例会議の運営、セキュリティレベルの自己点検が項目にあります。

それぞれマニュアルの整備や円滑な業務運営ができるように内容の改善やアップデート、メンテナンスなど日々の運用が重要です。セキュリティインシデントが発生した場合、自治体の連絡からインシデント対処まで迅速かつ適切な対応を行い、被害を最小限に抑えることが求められます。

一般的なシステムの運用の場合、受付窓口担当、監視担当、テクニカルサポート担当、統制担当に分けられます。

  • 受付窓口担当
    電話対応やメール問い合わせなどに対応、1次回答やテクニカルサポートの回答を行う。
  • 監視担当
    サービス運用時間帯のログ、状態監視を対応、異常時は受付窓口や統制担当にエスカレーションを行う。
  • テクニカルサポート担当
    監視担当からの連絡を受け、サーバーの状態やサービスの状態を確認して適切な対応を行う。サービス復旧にかかる見積もり時間を想定し受付窓口担当へ連絡する。
  • 統制担当
    障害時のみ稼働し、障害の状況、影響範囲をまとめ全体の統制を行う。障害時は各部署が並列に動くため情報の整理を行い、自治体やステークホルダーに対して正確な情報を伝達する。

次期自治体セキュリティ要件に向けた対策

次期自治体セキュリティ要件にあった開発を自治体から委託された場合は、上記の対策を実施し、構築・運営していくことが必要です。

対策実装の難易度

次期自治体情報セキュリティクラウド要件は、自治体に関する情報を取り扱うため、障害時の影響はかなり大きくなります。十分な時間と高度な人材が必要となります。

しかしながら、国が標準要件として「最低限満たすべき事項」と位置づけされているために難易度としてはそこまで高い要求を課しているわけではありません。

行政や中規模〜大規模なシステム開発を経験している企業であれば一般的な要件の内容となっています。最低限度の要求であるため、地方自治体によってプラスで要件が追加になる可能性もあります。

また、ICTの遅れている自治体はデータの移行やオンプレミス側の機器マイグレーションから実施する場合があります。自治体に合わせた対応が必要です。

対策整備の方法

次期自治体セキュリティ要件を整備するためには、それに合わせた計画書作成や現在の自治体のネットワークを理解をすることが必要です。

ファイアウォールで許可するIPアドレス、暗号化の規格、必要なヘルプデスクの人員見積もりなど、具体的に書き起こしてチェックリスト化した後、システムの要件定義をすると良いでしょう。

自治体側が民間のベンダーに構築を委託する場合は上記を参考に開発を依頼し対策を行います。複数の都道府県の共同調達・運営も可能となります。

民間の事業者側の対応としては、総務省から2点要望が表記されています。

  • 標準要件を満たすクラウドサービスの開発・提案
  • 総務省及び都道府県に対して、提供予定のクラウドサービスに関する提案及び価格等に関する情報提供

サービス提供を検討している事業者はより詳細な要件が総務省により提供されるため、窓口へ連絡が必要となります。

参考:総務省(次期自治体情報セキュリティクラウドの標準要件の決定について(令和2年8月18日)

自治体側の要件によりますが、サーバー管理やヘルプデスクなどの運営部分は他企業へ再委託するという選択肢もあります。

おわりに

「次期自治体情報セキュリティクラウド」は、総務省より各都道府県に「自治体情報セキュリティクラウド」の追加要件として策定された要件です。サーバーの監視やセキュリティ、インシデント予防などの項目が追加されています。

前述したように、今後は自治体のみならず、民間企業に対しても同等のセキュリティレベルを求めるケースも多くなってくるでしょう。

要件はそれほど難しい要求ではありませんが、自治体という個人情報を多く扱い、地域のインフラとして重要な役割を担うシステムとなります。十分な時間とコストをかけて整備する必要があります。

自治体側の要件によりますが、サーバー管理やヘルプデスクなどの運営部分は他企業へ再委託するという選択肢もあります。有効に活用することで必要な技術者、マンパワーの確保やセキュリティの担保をしていくことが重要です。

サーバー管理のアウトソーシングなら「クロジカサーバー管理」

今回は「次期自治体情報セキュリティクラウド」についてお伝えいたしました。標準要件を満たすクラウドサービスの開発・提案を行うために留意する点をご理解いただけたのではないでしょうか。

「クロジカサーバー管理」では、ホームページのサーバー管理に特化しており、オンプレミスやレンタルサーバーの環境からクラウドへの乗り替えをはじめ、脆弱性への対応やバックアップ、障害時の一次復旧など月々の運用保守をすべてお任せいただけます。

ホームページの規模感や用途に合わせて、セキュアで安定したクラウド環境をご提供しますので、お気軽にお問い合わせください。


次期自治体情報セキュリティクラウドについて、
いま求められているセキュリティ課題と対策方法について要点をまとめた図解解説はこちら

(無料公開中)ホワイトペーパー
「次期自治体情報セキュリティクラウド - いま求められている」セキュリティ課題と対策方法


ライター:kait78

元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。

コーポレートサイトクラウドでセキュアに

コーポレートサイトをクラウドでセキュアに クロジカガイドブック

無料ではじめるサーバー管理
クロジカガイドブック

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • クロジカサーバー管理の主な機能
  • 導入事例
  • 導入までの流れ

詳しい資料をご覧いただけます

クロジカサーバー管理のサービス内容を記載した資料をダウンロードできます。
クロジカの機能や事例が分かる
資料ダウンロード