近年、自治体を狙ったサイバー攻撃が多発しています。自治体では住民の福祉の増進を図ることを基本業務として、住民の生活に役立つ様々なサービスを提供しており、必然的に氏名、生年月日、住所などたくさんの個人情報を取り扱っているためです。サイバー攻撃により住民情報が盗まれたりサービスが停止に追い込まれたりすることを防止するためには、住民情報のような機密データにアクセスできないように徹底したセキュリティ対策に取り組むことが求められます。
すでに総務省は2001年の時点で、各自治体が情報セキュリティポリシーを策定する際の参考情報として「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定しています。そのあとも何回か改正を重ねましたが、本格的な変換が起きたのは2015年日本年金機構の情報漏洩事件がきっかけでした。
本記事では、自治体セキュリティガイドラインが制定された経緯も説明しながら、これからのセキュリティ対策をどうとっていけばよいのかについて説明したいと思いますので、参考にしてください。
【日本年金機構】ウイルスメール開封によるサイバー攻撃
日本年金機構は、職員の端末がサイバー攻撃を受けて、125万件の年金情報が外部に流出しました。そして、そのうちの5万2千件は、生年月日や住所などのが含まれていました。
学術機関の職員を装った電子メールに、日本年金機構をターゲットにした標的型メールが送られました。メールの内容は「セミナーの案内状」と記載されており、ファイルの開封によってウイルスに感染しました。2人の職員が開封しましたが、端末をつなぐLANシステム内のファイル共有サーバーに保管されていた基礎年金番号や氏名なども抜き取られました。
この事件では、個人番号利用系のネットワークに存在するデータをLGWAN接続系のネットワークに移して利用したことが原因であると判明し、情報セキュリティの管理や体制強化が問われる事態となったのです。
自治体のセキュリティガイドライン
日本年金機構の情報漏洩事件を受けて、セキュリティガイドラインを設けました。それが、総務省の「自治体における情報セキュリティポリシーガイドライン」です。このガイドラインは、自治体が情報セキュリティ対策の策定や見直しを行うために制定されており、「セキュリティ対策が有効に働いているか」を確認して、対策レベルを上げることを目的としています。
具体的な施策としては、自治体に対し、「自治体内の情報ネットワークを分離すること」「自治体情報セキュリティクラウドを利用すること」の2項目を実施するように求めました。
自治体セキュリティ強靭化
まずは、自治体の情報ネットワークを分けることで、セキュリティの強靭化を図ることについて説明します。自治体における情報セキュリティポリシーガイドラインでは、αモデルといわれる3層の構えが実施されてきました。以前までのセキュリティ対策は、市民情報を扱う基幹系システムでも外部メールが閲覧できる状態にあったため、セキュリティ事故が起こりやすい状況でした。
そこでαモデルでは、LGWAN環境(自治体を相互に接続するネットワーク)とインターネット環境に分け「個人番号利用事務系」と「LGWAN接続系」、「インターネット接続系」で、ネットワークとシステムを分離しています。
それぞれを分離することにより、被害が広がらずセキュリティ強靭化を成功させています。具体的な方法として、無害化処理(外部データを分析して安全なデータに再構築する方法)や、インターネット接続型の画面セット転送などがあります。
αモデルは、セキュリティ対策として有効な手段の一つですが、政府によるクラウド・バイ・デフォルト原則への対応が難しいこと、そして職員の負担増加により業務効率が低下したり、テレワークの推進ができなかったりする点から、問題が指摘されていました。
そこで、政府はβモデルを提案しています。これは3層の構えを維持しながら、効率性や利便性の高いモデルとして、インターネット接続系に業務端末システムを配置するモデルです。
さらに、αモデルに加えて、以下のセキュリティ対策を施してきました。
- LGWAN接続系の画面転送
- 不正プログラム対策
- 業務システムのログ管理
- 脆弱性管理
そのほか、住民情報の流出を防ぐために、自治体ネットワークをほかの領域と分離しつつ、国が認めた特定通信である「eLTAX」や「ぴったりサービス」は転送可能にしています。
このようにして、セキュリティ対策と職員の利便性の向上を両立しているのです。
自治体情報セキュリティクラウドの利用
総務省は、セキュリティ事故を防ぐために自治体情報セキュリティクラウドを導入することを求めています。自治体情報セキュリティクラウドとは、都道府県や市町村ごとにWebサーバーを集約して、監視したりログ分析したりできるセキュリティ対策のことを言います。
今まで自治体は、インターネットへの接続口を市区町村ごとに回線を引いて利用していました。それにより、予算のある自治体では高いセキュリティ対策ができますが、予算に限りのある自治体では十分なセキュリティ対策が難しいということが指摘されました。
そのため、各自治体のインターネットの接続口をまとめて、セキュリティ対策をまとめて行える自治体情報セキュリティクラウドの利用が求められます。例えば、A市やB市、C町などのインターネット接続口をまとめて、セキュリティ対策を一括にする方法が挙げられます。予算の制約により、セキュリティクラウドが利用できない自治体でも利用できる方法であり、一定の高い水準のセキュリティを確保することができます。
自治体セキュリティガイドラインの盲点
自治体の情報セキュリティは、ネットワーク分離とセキュリティクラウド導入で強化されましたが、ランサムウェアのような高度化したサイバー攻撃や内部不正による情報漏洩など、まだ課題は残っています。2023年6月、サイバー攻撃によって、三重県及び県内10市町のホームページが閲覧できなくなるなりました。三重県と県内の自治体は、セキュリティ対策のため、自治体情報セキュリティクラウドを導入していましたが、このシステムのサーバー大量の接続要求を送り付けて、サーバーをダウンさせることを目的としたサイバー攻撃を受けたのです。
サイバー攻撃は日々進化しており、今までのセキュリティ対策では不十分ということがここで改めて判明してているということでしょう。さらに、今後マイナンバーの利用が高まることが予想される中、重要な情報を取り扱う自治体では、より強力なでセキュリティ対策が求められます。
まとめ
ペンタセキュリティは、自治体のセキュリティ担当者の悩みを解決できる様々なソリューションを提供しています。クラウド上で高度な暗号化を実装できる「D'Amo」は、データ暗号化機能に、アクセス制御と監査ログを併せたオールインワンのソリューションであり、機密情報を安全に守るために最適なソリューションです。
興味のある方は、弊社の製品をぜひご覧になっていただければと思います。
