こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
2020年12月28日に、総務省より「地方公共団体における情報セキュリティポリシーに関するガイドライン」改定が発表され、新たな働き方を実践するためのネットワークの在り方や、業務の「効率性・利便性向上」、「セキュリティ確保」を両立する対策が求められています。今回は、自治体情報セキュリティ対策の見直しに伴いとりまとめられた施策について触れて行きます。
次期自治体情報セキュリティクラウドについて、
いま求められているセキュリティ課題と対策方法について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「次期自治体情報セキュリティクラウド - いま求められている」セキュリティ課題と対策方法
求められる情報セキュリティと対策検討の背景とは?
総務省は、「自治体情報セキュリティ対策検討チーム」の報告をふまえて、自治体に対していわゆる「三層の対策」を講じるよ う要請を行いました。要請を受けた各自治体は、情報システム・ネットワークを三つのセグ メント(マイナンバー利用事務系、LGWAN 接続系、インターネット接続系)に分離・分割すると同時に、インターネット接続系において、都道府県と市区町村が協力し、原則、都道府県単位でインターネット接続口を集約した上で、「自治 体情報セキュリティクラウド」の構築を行い、これにより、インシデント数の大幅な減少を実現し短期間で自治体の情報セキュリティ対策強化が進んでいます。
しかし、自治体からは、ネットワークの分離・分割後、ユーザビリティへの影響を指摘する声があり、さらに、政府における「クラウド・バイ・デフォルト原則」 などを受けたクラウド化、デジタル手続法の成立による行政手続のオンライン化、働き方改革や業務継続のためのテレワークなど、自治体においても新たな時代の要請が日々増えていることに加えて、「自治体情報セキュリティクラウド」は、更新時期が迫っていることやサイ バー攻撃の増加やサイバー犯罪における手口の巧妙化など、セキュリティ上の新たな脅威も併せて、次期のあり方を検討する必要がありました。
このような状況をもとに三層の対策の効果や課題、新たな時代の要請をふまえて、効率性・利便性を向上させ た新たな自治体情報セキュリティ対策について検討を実施しています。
-1024x623.jpg)
見直されたポイントとは?
『地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会』では、自治体の効率性・利便性の向上とセキュリティ確保の両立を実現する観点から、6つの内容が見直されています。
- 三層の対策の見直し
- 業務の効率性・利便性向上
- 次期自治体情報セキュリティクラウドの在り方
- 昨今の自治体における重大インシデントを踏まえた対策の強化
- 各自治体の情報セキュリティ体制・インシデント即応体制の強化
- ガイドラインの適時の改定
1. 三層の対策の見直し
三層の対策は、ネットワークを三層に分離することで、個人情報の流出を防止する対策です。インシデント数の減少を実現することができたものの、業務効率の低下という課題が生まれています。働き方改革によるリモートアクセスへの対応や、サイバー攻撃の手口対策など、必要性が高まり、個人情報を取り扱う領域の分離を維持し業務効率の向上や行政手続きのオンライン化に対応する内容。
LGWAN接続系とインターネット接続系の分割の見直し
基本的な対策は維持しつつ利便性・効率性をより高める新たなモデル(βモデル)を提示。採用には人的セキュリティ対策の実施が条件となるものの、業務システムの一部がインターネット接続になることで、業務効率の向上が期待できます。
2. 業務の効率性・利便性向上
自治体におけるクラウドコンピューティングの導入が進んでいますが、不特定多数のユーザーがサーバー・ソフトウェア・回線などを共有できる“パブリッククラウド”を自治体で利用することに対して懸念されていました。
パブリッククラウドの導入は住民の利便性向上を実現させるだけでなく、インターネット経由のテレワークやシステム担当者の負担を減らせるなどの側面もあります。
そのため、自治体内部環境からのパブリッククラウドへの接続、内部環境へのリモートアクセスなどについて、安全な実施方法を検討・整理するなどの動きが進められることになっています。
3. 次期自治体情報セキュリティクラウドの在り方
利便性を高め、多様な働き方を実現するクラウド化ですが、自治体情報セキュリティクラウドにおいては、各自治体でセキュリティレベルに差があることが課題になります。
セキュリティレベルについては、国が標準要件を提示し、民間のベンダーがクラウドサービスを開発・提供することでセキュリティ水準の確保とコストの抑制を実現するという考えが取りまとめられました。
各団体が求める水準やコストに応じて機能や接続回線を柔軟に選択。都道府県が主体となって構築することで各自治体に情報セキュリティ対策が浸透し、県と市町村間の連携がされ二次被害の防止や迅速・正確なインシデント対応に役立ちます。
また、増加するサイバー攻撃の脅威や現行課題に対応する内容も加えられており、セキュリティ専門人材による監視機能(SOC)を強化し、非常時のアクセス集中を想定した負荷分散機能(CDN)の追加、暗号化された通信に対する監視機能の追加なども提示されています。
4. 自治体における重大インシデントを踏まえた対策の強化
2019年、神奈川県ではリースの契約満了時に返却したハードディスクが盗難に遭い、情報が流出してしまうというインシデントが発生しました。このような事態を受け、情報システム機器の廃棄におけるセキュリティの確保が検討されています。
当面の対応策として重要な情報を含む装置については物理的な破壊あるいは磁気的な破壊の実施と併せて、職員が当該措置の完了まで立ち会うといった、確実な履行の担保が要請されています。
再発防止策として、マイナンバー利用事務系に該当するような機密性の高い情報は、廃棄時に職員による立ち会い確認のもと、庁内で情報復元が困難な状態までデータの消去を実施。さらに物理的破壊で機器を破棄するなどの具体策が提示されています。
5. 各自治体の情報セキュリティ体制・インシデント即応体制の強化
情報セキュリティ体制・インシデント即応体制の強化に向けて、総務省及び地方公共団体情報システム機構では、以下の取り組みが実施されています。
- 実践的サイバー防御演習(CYDER)の受講
- インシデント対応チーム(CSIRT)の設置・役割の明確化の推進
- 演習等を通じたサイバー攻撃情報・インシデント等への対策情報の共有の推進
- 啓発・訓練を通じた各自治体の職員のセキュリティとリテラシーの向上
サイバー攻撃についての理解を深め、実践的に学ぶことで各自治体のセキュリティ体制やインシデント発生時の対応力の強化に役立ちます。
6. ガイドラインの適時
先述の5つの対策を踏まえ、総務省では2020年を目処に『地方公共団体における情報セキュリティポリシーに関するガイドライン』を改定するとされています。各自治体はガイドラインに基づいた総合的なセキュリティ対策が求められます。
さいごに
利便性や効率性が高まりを見せた一方で情報セキュリティ対策の強化に関する課題が生まれています。自治体においては強固な情報セキュリティ対策が求められ、今後も政府主導の情報セキュリティ対策が強化されていく見通しです。サイバー攻撃の対象は、個人や企業だけでなく、自治体を含めたすべてが対象です。今後益々未然に防ぐセキュリティ対策を予め想定することがとても重要視されいます。万が一の有事を想定して対策を講じることや、迅速かつ正確な対応が求められています。本稿が検討や見直しのきっかけになれば幸いです。
次期自治体情報セキュリティクラウドについて、
いま求められているセキュリティ課題と対策方法について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「次期自治体情報セキュリティクラウド - いま求められている」セキュリティ課題と対策方法
出典:総務省 自治体情報セキュリティ対策の見直しポイントを加工して作成
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
