進撃の強靭化計画　自治体が進めるセキュリティ対策

ホーム
週刊BCN
Special Feature
進撃の強靭化計画　自治体が進めるセキュリティ対策

Special Feature

進撃の強靭化計画　自治体が進めるセキュリティ対策

2016/06/09 21:33

週刊BCN 2016年06月06日vol.1631掲載

京都府
セキュリティクラウドで先陣

京都府
原田智
政策企画部
情報政策統括監

　京都府は4月1日、他の都道府県に先駆け、セキュリティクラウドの調達を公告した。この公告で調達するのは、セキュリティ関連機器、セキュリティクラウドサービス、セキュアインターネット閲覧サービスの三つである。残るのは、仮想基盤整備の調達となるが、機器に汎用性があるため、適正な規模と性能を見極めて調達することを予定している。

　京都府がセキュリティクラウドを構築するにあたって目指したのは、セキュリティと業務効率の両立だ。「安全性だけを考えると、ガチガチのセキュリティ対策となり、業務に支障が出る。例えば、LGWAN接続系からインターネットに接続できないと、仕事の効率が極端に落ちることが懸念される」と、京都府の原田智・政策企画部情報政策統括監は語る。また、モバイルワークや在宅勤務が実質的にできなくなるとの懸念もある。そこで京都府は、総務省に対して、LGWAN接続系からのインターネット閲覧の許可を求めた。

　ここで使用するのは、インターネットへの仮想接続サーバーで、LGWAN接続系の端末には画面のデータのみが送られる（図2）。また、LGWAN接続系と仮想接続サーバーの間にファイアウォール（FW）を設置し、画面転送プロトコルのみを許可することで、セキュリティを確保する。

　この提案を総務省が了承したため、京都府ではセキュリティクラウドの機能の一つとして整備を進めている。「セキュリティを確保するとはいえ、物理的にはインターネットに接続するため、総務省としては認めないという選択肢もあった。認められなければ、自治体ではインターネット接続系の端末を用意しなければならないが、これによってその端末が不要になる」と、原田情報政策統括監は総務省の英断を歓迎している。ただ、LGWAN接続系のネットワークがインターネットに接続することになるため、セキュリティ対策をより強固なものにするために、市町村との協力体制も不可欠としている。

　「セキュリティクラウドは、全体の入り口を管理する統合基盤のイメージ。各自治体の人的なセキュリティホールには対応できない。そこは地域の消防団のように、オール京都で助け合いながら火消しをしていきたいと考えている。京都府は消防団長として、しっかり火消しができる準備をしていきたい」と、原田情報政策統括監は考えている。“オール京都”という考え方は、京都が先駆けで、他の都道府県の見本となるべく取り組んでいくとしている。

　ちなみに、セキュリティクラウドにおける京都府の取り組みは、他の都道府県よりも早いとされる。そういった意味では調達が進むのはこれからということになるが、残された時間は少ないと原田情報政策統括監は警鐘を鳴らす。「来年の7月までに整備するとなると、残された期間は少ない。セキュリティ対策では検証に時間がかかる。市町村側の対応もある。早めに取り組んだほうがいい」。全国的な取り組みとなるセキュリティ関連の調達がギリギリのタイミングで進むかもしれない。セキュリティ関連ベンダーの力量も試されることになりそうだが、チャンスでもある。

CISOとCSIRT
セキュリティ対策に向けた体制構築

　日本年金機構の個人情報漏えい事件では、セキュリティに対する職員の意識の低さが際立っていた。不審メールに書かれたURLを職員がクリックしてしまう。しかも、問題発覚後にも、何人もの職員が不審メールに書かれたURLをクリックしている。日本年金機構ではセキュリティ対策が不十分だったとはいえ、職員のセキュリティ意識が低いようでは、いくら対策を施しても情報漏えいを防ぐのは難しい。職員のセキュリティ意識の低さは、最大のセキュリティホールともいえるのである。

　そこで総務省が自治体に求めているのが、セキュリティ関連の責任者であるCISO（最高情報セキュリティ責任者）と、セキュリティ対策を推進するCSIRT（Computer Security Incident Response Team）の設置である。総務省の三木企画官は、「セキュリティ対策は技術屋の世界だと思われがちだが、幹部が責任意識をもたないと機能しない。現在では、あらゆる業務でITが活用されている。担当者に丸投げでは済まされない」と語り、セキュリティ対策の責任者であるCISOの設置を求めている。

　日本年金機構では、不正プログラムに感染した端末をネットワークから遮断するまでの判断が遅れたことが、情報漏えい事件を大きくする要因の一つとなった。「そうした判断も、CISOやCSIRTの体制を整備することによって、すばやく対応できるようにする」と三木企画官は自治体のセキュリティ体制における総務省の方針を説明する。

　とはいえ、多くの自治体では、セキュリティ対策ができる人材の確保が難しい。そこで地方公共団体情報システム機構（JーLIS）では、すべての市町村のトップページが改ざんされていないかどうか、不正プログラムが埋め込まれていないかどうかを毎日チェックしている。また、都道府県のメールサーバーやプロキシサーバーの検査なども行っている。とはいえ、前述した通り、職員の意識も重要となる。

　JーLISでは、「地方公共団体における情報セキュリティインシデント対応ハンドブック」などを作成し、自治体のセキュリティ意識を高める活動を行っている。JーLISの石川家継・情報化支援戦略部（セキュリティ支援担当）次長は、「問題が発生したことを想定した訓練を呼びかけているが、30数％ほどの自治体でしか実施されていない。これではいざというときに対応できない。まずは、CSIRTをしっかりと設置していただき、もし問題が発生したときも迅速に対応できるようにしていただきたいと考えている。また、セキュリティ訓練では、セキュリティ関連ベンダーの協力も不可欠。ぜひ、自治体の訓練に協力していただきたい」と語る。ちなみに、図3はJーLISが作成したハンドブックに掲載されているCSIRTの機能と役割である。各自治体には技術的なセキュリティ対策に加え、CSIRTの設置も求められることになるが、単独では対応が難しいため、セキュリティ関連ベンダーの協力が不可欠となる。