自治体情報セキュリティポリシーに関するガイドライン ~前回の振り返りと今回のポイント~

こんにちは。VMwareで西日本の公共分野のお客様をプリセールスSEとして担当している加藤です。弊社、中島の記事の中でこれから自治体における情報セキュリティポリシーに関するガイドラインへの対応に関して発信していこうと思います。

まず初めに、5年前の自治体情報セキュリティ対策の経緯と対応を振り返ってみたいと思います。当時、多くのメディアで報道されたため記憶に残っている方もいらっしゃると思いますが、マイナンバー制度の導入に向けた準備が進められるなか、2015年5月に日本年金機構に対して『標的型攻撃』による不正アクセスがおこなわれ125万人分の個人情報が漏洩しました。また、時を同じくして全国の公共団体や病院、民間企業においても『標的型攻撃』による情報漏洩が多く報告されました。これらの状況をうけ2015年末に自治体情報セキュリティ対策の抜本的強化として、『強靭化』『インターネット分離』『三層分離』『三層の対策』等と呼ばれる下記の方針が示されました。

(1) マイナンバー利用事務系では、端末からの情報持ち出し不可設定等を図り、住民情報流出を徹底して防止すること
(2) マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するため、LGWAN接続系とインターネット接続系を分割すること
(3) 都道府県と市区町村が協力して、自治体情報セキュリティクラウドを構築し、高度な情報セキュリティ対策を講じることhttps://www.soumu.go.jp/main_content/000402431.pdf

これらの対策は、平成27年度(2015年度)補正予算において、地方公共団体情報セキュリティ強化対策費補助金として約236億円の補助金の交付が決定された事もあり、平成28年度(2016年度)には多くの市町村において(1)(2)の対策が実施され、都道府県においては(3)のインターネット接続口を集約しセキュリティ対策をおこなう、自治体情報セキュリティクラウドが構築されました。

当時の対策に関しては、利便性や操作性の観点では賛否両論ありましたが、セキュリティ強化においては一定の効果が得られたと思います。自治体と同様にインターネット接続を分離するというアプローチは、教育委員会における『校務系と校務外部系の分離』や、病院における『電子カルテ端末とインターネット閲覧端末の分離』というように、同様の対策がとられています。

現在の状況に話を移すと、自治体においては5年サイクルでのシステムの更改が一般的であり、令和3年度(2021年度)は平成28年度(2016年度)に導入したこれらのシステムの更改が予定されていますが、令和2年(2020年)12月28日に総務省より「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」として情報セキュリティ対策に向けて新たな指針が示されました。

今回のガイドラインにおける大きなポイントとしては、下記の3点が挙げられます。

(1) 個人番号利用事務系への特定通信による業務連携の拡充
(2) 業務端末の配置を見直すことによる新たな強靭化モデルの提示
(3) リモートアクセス (テレワーク ) における新たな技術要件の整理

特に(2)の業務端末の配置においては、αパターンとよばれる既存の3層分離を踏襲し物理端末をLGWAN系に配置する構成に加えて、物理端末及びグループウェア等のシステムをインターネット系に配置するβ、β’パターンが提示されました。

ガイドライン改定の背景には、業務効率性・利便性の向上や、クラウドサービスの利用、リモートアクセス(テレワーク)環境の整備など、新たな時代の要請、社会情勢の変化への対応がありますが、今後は、これらのセキュリティ対策を支えるエンドポイントやネットワークの技術の進展に注目して、関連する最新技術を紹介していきたいと思います。

最後に、ガイドラインの改定にあわせて『VMwareの考える次期情報セキュリティ対策』として1冊のカタログにまとめていますので、こちらも合わせて是非ご一読ください。