自治体情報セキュリティ対策が見直しへ! 現状から見えた課題と見直しのポイント
住民の福祉増進や地域の企業活動・団体活動・市民活動に励む自治体では、国民のさまざまな個人情報を取扱います。
そのなかの一つである“マイナンバー”。マイナンバー制度は、国民の利便性を向上し、公平・公正な社会を実現するための社会基盤となりましたが、それに伴い、自治体における強固な情報セキュリティ対策が求められています。
この記事では、自治体に求められる情報セキュリティの強化とはどのようなものか、その具体的施策について紹介します。
目次[非表示]
自治体に求められる情報セキュリティの強化
2018年に施行されたマイナンバー制度。国民一人ひとりに割り当てられたマイナンバーを活用することで行政手続きが簡素化されるなど、国民・自治体にとっての利便性向上が期待されています。
しかしその一方で、自治体における情報セキュリティへの課題も挙げられています。
2015年、日本年金機構が個人情報を流出した事件は記憶に新しいでしょう。
125万件もの個人情報が流出したこの事件は、サイバー攻撃による被害です。サイバー攻撃で狙われるのは企業だけでなく、すべての組織だということを再認識させられた出来事でした。
出典:厚生労働省『日本年金機構における不正アクセスによる情報流出事案について』
自治体においても、業務遂行にインターネットの利活用が進んでおり、サイバー攻撃への備えをはじめとする情報セキュリティ対策が欠かせません。
日本年金機構の個人情報流出問題が発生した2015年以降、総務省が立ち上げた『自治体情報セキュリティ対策検討チーム』により地方公共団体の情報セキュリティに係る抜本的な対策の議論が重ねられ、マイナンバー利用事務系ネットワーク・LGWAN接続系ネットワーク・インターネット接続系ネットワークを分離・分割する“三層の対策”の見直しなど、情報セキュリティ対策の抜本的強化が実行されてきました。
しかし、これら情報セキュリティ対策の強化によって、利便性や効率性に関する課題も散見され始めています。そうした状況を受けて、2019年12月以降より、『地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会』が繰り返し実施され、抜本的強化の効果や課題を検討。2020年5月には、自治体の情報セキュリティ対策の見直しに係る具体的施策が取りまとめられた『自治体情報セキュリティ対策の見直しについて』が公表されました。
国民の重要な個人情報を取り扱う自治体において、情報セキュリティの強化は喫緊の課題です。そして、情報セキュリティの強化とともに、効率性・利便性の向上が求められています。
見直されたポイント
『地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会』では、自治体の効率性・利便性の向上とセキュリティ確保の両立を実現する観点から、以下の6つの施策が見直されました。
- 三層の対策の見直し
- 業務の効率性・利便性向上
- 次期自治体情報セキュリティクラウドの在り方
- 昨今の自治体における重大インシデントを踏まえた対策の強化
- 各自治体の情報セキュリティ体制・インシデント即応体制の強化
- ガイドラインの適時の改定
出典:総務省『自治体情報セキュリティ対策の見直しポイント』
1. 三層の対策の見直し
三層の対策とは、ネットワークを三層に分離することで、個人情報の流出を徹底して防止するという施策です。ネットワークを分離することで、インシデント数の減少を実現することができましたが、その一方で業務効率の低下という課題も生まれました。
また、働き方改革によるリモートアクセスへの対応や、巧妙化するサイバー攻撃の手口への対応などの必要性も高まっています。
そのため、三層の対策の見直しの具体的な取り組みとして、個人情報を取り扱う領域の分離は維持しながらも、業務効率の向上や行政手続きのオンライン化に対応するという内容が挙げられました。
まず、マイナンバー利用事務系の分離が見直され、国が認めた特定通信に限り電子申請等のデータ移送が可能に。ユーザーの利便性向上やオンライン化対応が実現します。
つづいてLGWAN接続系・とインターネット接続系の分割の見直しでは、基本的な対策は維持しつつ利便性・効率性をより高める新たなモデル(βモデル)を提示。採用には人的セキュリティ対策の実施が条件となるものの、業務システムの一部がインターネット接続になることで、業務効率の向上が期待できます。
2. 業務の効率性・利便性向上
近年、自治体におけるクラウドコンピューティングの導入が進んでいます。
しかし、クラウドコンピューティングのうち、不特定多数のユーザーがサーバー・ソフトウェア・回線などを共有できる“パブリッククラウド”を自治体で利用することに対しては懸念の声もありました。
パブリッククラウドの導入は住民の利便性向上を実現させるだけでなく、インターネット経由のテレワークやシステム担当者の負担を減らせるなどの側面もあります。
そのため、自治体内部環境からのパブリッククラウドへの接続、内部環境へのリモートアクセスなどについて、安全な実施方法を検討・整理するなどの動きが進められることとなっています。
3. 次期自治体情報セキュリティクラウドの在り方
人々の利便性を高め、多様な働き方を実現するクラウドサービス。
しかし、現在の自治体情報セキュリティクラウドにおいては、各自治体でセキュリティレベルに差があることが課題となっていました。
この課題に対して、国が標準要件を提示し、民間のベンダーがクラウドサービスを開発・提供することでセキュリティ水準の確保とコストの抑制を実現するという考えがまとめられました。
各団体が求める水準や可用性・コストに応じて機能や接続回線を柔軟に選択。都道府県が主体となって構築することで各自治体に情報セキュリティ対策が浸透し、県と市町村間の連携が密になります。二次被害の防止や迅速・正確なインシデント対応に役立ちます。
また、昨今増え続けているサイバー攻撃などの脅威や現行課題に対応する内容も加えられています。セキュリティ専門人材による監視機能(SOC)を強化し、非常時のアクセス集中を想定した負荷分散機能(CDN)の追加、暗号化された通信に対する監視機能の追加なども提示されました。
4. 昨今の自治体における重大インシデントを踏まえた対策の強化
2019年、神奈川県ではリースの契約満了時に返却したハードディスクが盗難に遭い、情報が流出してしまうというインシデントが発生しました。このような事態を受け、情報システム機器の廃棄におけるセキュリティの確保が検討されています。
当面の対応策として重要な情報を含む装置については物理的な破壊あるいは磁気的な破壊の実施と併せて、職員が当該措置の完了まで立ち会うといった、確実な履行の担保が要請されています。
再発防止策として、マイナンバー利用事務系に該当するような機密性の高い情報は、廃棄時に職員による立ち会い確認のもと、庁内で情報復元が困難な状態までデータの消去を実施。さらに物理的破壊で機器を破棄するなどの具体策が提示されています。
5. 各自治体の情報セキュリティ体制・インシデント即応体制の強化
情報セキュリティ体制・インシデント即応体制の強化に向けて、総務省及び地方公共団体情報システム機構では、以下の取り組みが実施されています。
- 実践的サイバー防御演習(CYDER)の受講
- インシデント対応チーム(CSIRT)の設置・役割の明確化の推進
- 演習等を通じたサイバー攻撃情報・インシデント等への対策情報の共有の推進
- 啓発・訓練を通じた各自治体の職員のセキュリティとリテラシーの向上
サイバー攻撃についての理解を深め、実践的に学ぶことで各自治体のセキュリティ体制やインシデント発生時の対応力の強化に役立ちます。
6. ガイドラインの適時
先述の5つの対策を踏まえ、総務省では2020年を目処に『地方公共団体における情報セキュリティポリシーに関するガイドライン』を改定するとされています。
各自治体はガイドラインに基づいた総合的なセキュリティ対策が求められます。
まとめ
マイナンバー制度の施行により、行政手続きが簡素化され利便性や効率性が高まりました。しかし、その一方で情報セキュリティ対策の強化に関する課題も生まれています。
自治体においては強固な情報セキュリティ対策が求められ、2020年には具体的施策も取りまとめられました。今後も政府を筆頭に、情報セキュリティ対策が強化されていく見通しです。
サイバー攻撃の対象は、個人や企業だけでなく、自治体を含めたすべての団体が対象です。インシデントを未然に防止するセキュリティ対策を図ることはもちろん重要ですが、100%防止できる訳ではありません。有事を想定してデータを保護しバックアップを定期的に実施すること、そして迅速かつ正確な復元対策も重要です。情報セキュリティ対策の一環として、データのバックアップ方法についても併せて検討してみてはいかがでしょうか。
バックアップシステムの導入はお済みですか?
『NBUアプライアンス(NetBackup Appliance)』は、情報セキュリティ対策に欠かせないバックアップシステムです。
NBUアプライアンスは専用OS・暗号化・アクセスコントロール・IDS(Intrusion Detection System:不正侵入検知システム)・IPS(Intrusion Prevention System:不正侵入防止システム)などのさまざまな機能を組み合わせた多層防御を実現します。重複排除・永久増分バックアップのため、重要なデータのバックアップがスムーズです。
また、NBUアプライアンスは、リモートサイトやクラウドストレージにバックアップデータを遠隔地複製することが可能です。リストアはローカルサイト・リモートサイトの両方から対応できます。一方のサイトにインシデントが発生した場合でも、もう一方のサイトのNBUアプライアンスは動作し続けるためデータの保護・復元にも有効です。
現在のバックアップシステムにお悩みの自治体ご担当者さまは、ぜひ一度NBUアプライアンスをご検討ください。