自治体DXの推進にともない、業務のデジタル化や行政手続きのオンライン化が進む一方で、サイバー攻撃の脅威が年々増大している。こうしたなか総務省は、「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定に踏み切った。そのなかで国は、2017年に完了した“3層の対策”の見直しや、テレワークなど新たな時代の要請への対応などにより、効率性や利便性とセキュリティの両立を目指している。そこで本書では、情報セキュリティの現状を振り返りつつ、今後、自治体に求められるサイバー攻撃対策について考察する。

「情報セキュリティ10大脅威（2022年版）」に見るサイバー攻撃の動向

下表は、情報処理推進機構（IPA）が毎年公開している「情報セキュリティ10大脅威」2022年版(注)における、組織向け脅威の最新ランキングだ。TOP10のうち9つは昨年同様の顔ぶれで、「予期せぬIT基盤の障害に伴う業務停止（9位）」「不注意による情報漏えい等の被害（10位）」以外はサイバー攻撃によるものとなっている。

情報セキュリティ10大脅威 2022

注目すべきは、前回10位から6位にランクアップした「脆弱性対策情報の公開に伴う悪用増加」と、7位の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」だ。6位の脆弱性対策情報は、公開された脆弱性について、企業や団体が対策をおこなうまでに要する間隙を突いて仕掛けてくるサイバー攻撃であり、守る側としては、脆弱性対策情報が公開されたら、とにかく素早く対策することが重要になる。7位で初ランクインのゼロデイ攻撃については、脆弱性を抱えていることに気づいていない状態で攻撃を受ける訳で、もはや被害を最小減にとどめるための対策を準備するしかない。

いずれにしても、攻撃側がポイントを絞り素早く攻撃を仕掛けてくる以上、守る側はそれを上回る俊敏さと、攻撃されても被害を出さないための準備が求められる。

自治体におけるセキュリティ対策の現状とガイドライン改定について

サイバー攻撃が、あらゆる企業や団体をターゲットとしている点では、地方公共団体（自治体）も例外ではない。だが、2015年の年金機構における大規模な情報漏えい事案を受け、国は「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定。補助金を投入し、2017年7月までに情報ネットワークの3層分離・分割対応を終えた結果、インシデントは大幅に減少。以降の重大インシデントは、神奈川県におけるハードディスクの盗難による情報流出事案（2019年12月）くらいで、セキュリティにおいては民間企業とは比べものにならない高いレベルを実現したと言える。

一方、総務省は、2016年のガイドライン公開から約5年が経過し、多くの自治体でシステム保守の更新時期を迎えるのに先立ち、ガイドラインを改定。情報ネットワークの3層分離・分割で課題とされてきた“ユーザビリティの改善”と、行政手続きの電子化やテレワーク推進、自治体セキュリティクラウド(注)による情報セキュリティ対策の強化など“時代の要請への対応”を念頭に置いた、新たな自治体情報セキュリティ対策を公表している。

特に3層分離・分割については、基本的枠組みを維持しつつ、一部国が認めるインターネット経由の電子申請について、マイナンバー利用事務系へのデータ移送を認めたほか、LGWAN接続系・インターネット接続系の分割についても、従来の“αモデル”に加え、より効率性・利便性の高い“βモデル/β’モデル”を提示している。

「3層の対策」見直しイメージ

だが、セキュリティと利便性がトレードオフの関係にあることは周知のとおりだ。このため同省は、「新たなモデルの採用にあたっては、情報資産単位でのアクセス制御、監視体制やCSIRTなど緊急即応体制の整備、個々の職員のリテラシー向上など人的セキュリティ対策の実施が条件となる」としている。新たな時代の要請に応えるために3層分離・分割の運用ルールを若干緩めた分、セキュリティ対策については、一層きめ細かくシビアな対応を求めた形だ。

「次期自治体情報セキュリティクラウド」と自治体に求められる対策

今回のガイドライン改定は、すでに3層の対策を整え、強固なセキュリティを確立している自治体にとって、必ず対応しなければならないというものではない。だが、5年近く経過するなかで見えてきた様々な課題を解決しようとするなら、今回のガイドライン改定に沿って開発されたクラウドサービス、より具体的に言えば、「次期自治体情報セキュリティクラウド」で規定している要件を満たすサービスを検討するのが王道であり、コスト抑制などの観点からも得策だ。

セキュリティレベルの自治体間の格差が発生していた現行の自治体情報セキュリティクラウドに対し、次期自治体情報セキュリティクラウドでは、総務省が中心となり、最低限満たすべき必須の機能要件を明確化した。さらに、自治体の個別ニーズで選択可能なオプションの機能要件を加え、「インターネット通信の監視」「インシデントの予防」「高度な人材による監視と検知」「対応と復旧」の4カテゴリ、全29項目からなる標準要件を提示。これに沿って民間ベンダが開発・提供するクラウドサービスを、都道府県が主体となり、市区町村と緊密に連携して調達・運営することで、セキュリティレベルの平準化と底上げを目指している。

次期自治体情報セキュリティクラウドの機能要件一覧

●必須機能要件 ○オプション機能要件

効率性・利便性とセキュリティの両立を実現する、富士電機の“無害化ソリューション”

富士電機では、「次期自治体情報セキュリティクラウド」のオプション要件の1つ「メール無害化・ファイル無害化」機能に対応するLGWAN-ASP「e-自治体 メール・ファイル無害化サービス」を提供。下記の特長が高く評価され、現在、全国約350以上の団体で導入・活用されている。

【特長1】確実性の高い無害化処理と、高品質なファイルの再現性

豊富な実績を誇る無害化エンジンでサニタイズ処理を施し、添付ファイルの画像やOLEといった、内部部品も確実に無害化処理でき、既知・未知を問わず処理漏れのリスクを低減。また、再現性も高く、文字のフォントが変わってしまったり、罫線が太くなったり、画像の色が変わってしまうなどの無害化による影響を最小化している。

【特長2】使いやすさ・分かりやすさと高速処理

独自開発したアプリケーションを無害化エンジンと組み合わせることで、無害化処理をおこなわない場合と、ほとんど変わらない操作性を実現。添付ファイルも無害化され、通常のメール受信と同様にメールに添付された状態で受け取ることができる。添付ファイルの無害化処理に要する時間は、約99%以上が1分以内とされ(注)、ほぼリアルタイムに受信できる。

【特長3】短期間での導入が可能、特別な設定は不要

LGWAN-ASPサービスで提供され、LGWAN接続系でメールを受信する場合は、個々の端末に特別な設定をすることなく利用できる。既存環境から移行する場合も回線をつなぐだけで利用でき、移行の期間と負担を最小化する。サーバのメンテナンスやアップデートなど、ユーザー側でのシステム管理の手間が発生しない点もLGWAN-ASPサービスならではのメリットだ。

【特長4】インターネット接続系⇔LGWAN接続系間のセキュアなメール送受信を実現

βモデル/β’モデルにおける、LGWAN接続系とインターネット接続系間でセキュアなメール送受信を実現する仕組みも提供。これにより、PCをインターネット接続系、LGWAN接続系ごとに用意する負担やVDI（デスクトップ仮想化）で発生する膨⼤なコストなどの課題も⼀気に解決できる。

【特長5】Microsoft 365連携に対応

Microsoft 365を導入してメールをクラウド環境で利用する自治体が増加しているが、「e-自治体 メール・ファイル無害化サービス」は、パブリッククラウド環境でも利用できる。特長4の仕組みについても、Microsoft 365を介した利用に対応しており、インターネットから受信したメールを無害化し、Microsoft 365で受信する。Microsoft 365からほかの自治体への送信メールを無害化してLGWAN経由で送信するといったことが可能だ。

このほか「e-自治体 メール・ファイル無害化サービス」では、メール原本保管サービス、セキュアファイル交換サービス、ファイル交換送信時承認機能、第3者承認機能などのプション機能も用意。メール送受信・ファイル受け渡しにおけるセキュリティ強化や、その管理に関する様々なニーズに対応しているので、まずは、お気軽に問い合わせいただきたい。

MOVIE

関連動画

WHITE PAPER

関連資料ダウンロード

RECOMMENDED COLUMN

おすすめコラム

RELATED SERVICES

関連サービス

ページ
TOPへ