総務省は2020年12月、自治体の情報セキュリティ対策に関するガイドラインを改定した。公共分野でもDXの必要性が強く指摘される中、業務の効率性や利便性を高めることを意図して、いわゆる「三層の対策」をアップデートした形だ。ガイドラインの改定を受け、地方自治体はどう動くのか。
(取材・文/本多和幸)
改定版ガイドラインのポイント
業務効率向上やクラウド活用を前提に
19年に始まった
「三層の対策」の見直し
まずは昨年大きく動いた自治体の情報セキュリティ対策に関する総務省の施策を振り返ってみよう。
総務省は2019年から、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」(座長=佐々木良一・東京電機大学総合研究所特命教授)を設置して自治体の情報セキュリティ対策の見直しに関する議論を進めてきた。昨年5月に発表した「自治体情報セキュリティ対策の見直しについて」というドキュメントでは、一連の議論を取りまとめ、具体的にどのような施策に落とし込んでいくべきかという方向性を示した。
15年6月に日本年金機構が公表した情報流出事件を大きなきっかけとして、総務省は自治体の情報セキュリティ対策を抜本的に強化すべく、各自治体に「自治体情報システム強靭性向上モデル」への対応を促した。このモデルで示されたのがいわゆる「三層の対策」だ。住民の個人情報を取り扱う情報システムである「マイナンバー利用事務系」、LGWANに接続された業務システムなどを利用する「LGWAN接続系」、インターネットに接続されホームページ管理や外部とのメールのやり取りなどで活用する「インターネット接続系」という三種類の情報システムのネットワークを分離して、セキュリティ強度を向上させたうえで運用するという考え方だ。17年夏には全国の自治体で対応を完了し、「インシデント数の大幅な減少を実現した」(総務省)という成果を得た。
一方で、セキュリティ強度は向上したものの、三層の対策により自治体業務の効率が低下したという指摘も聞かれるようになった。さらに、政府が18年に示した「クラウド・バイ・デフォルト」(クラウドサービスの利用を情報システム調達における基本方針にする)原則に象徴されるように、クラウドサービスの積極的な活用が促されるようになっている。行政手続きの電子化や自治体業務におけるテレワークへの対応の必要性も時代の要請と言える。これらの課題に対応できる形で三層の対策をアップデートするというのが検討会の議論の主なテーマであり、01年の策定以来改定を重ねてきた「地方公共団体における情報セキュリティポリシーに関するガイドライン」(以下、ガイドライン)にその議論の成果を反映させることを前提としていた。
新たなモデルは2種類に細分化
昨年5月のとりまとめでは、まずマイナンバー利用事務系について、十分にセキュリティが確保されていると国が認めた特定通信(「eLTAX」やマイナポータルから利用できる「ぴったりサービス」)に限って、LGWAN-ASP※などからデータの取り込みなどができるようにすべきだと指摘した。
また、従来の三層の対策に則った情報システム強靭化モデルを「αモデル」とした上で、業務の効率化やクラウド活用がしやすい新たなモデルとして「βモデル」を提示した。αモデルではLGWAN接続系に配置されていた業務システムや業務端末を、相応のセキュリティ対策を施すことを条件にインターネット接続系に配置転換するというものだ。
三層の対策にあたっては、都道府県単位でインターネット接続口を集約した上で監視やログ分析・解析などのセキュリティ対策を実施する「自治体情報セキュリティクラウド」も構築している。基本的には都道府県が主体となって実行している施策だが、都道府県ごとにセキュリティレベルに差があることなどが課題として浮上してきた。自治体情報セキュリティクラウドの更新時期も近いことから、総務省が早急に次期自治体情報セキュリティクラウドを決定し、技術的要件も検討すべきとも指摘している。
次期自治体情報セキュリティクラウドについては、昨年8月に総務省が標準要件を示した。一方、三層の対策の見直しに関する指摘については、同12月28日に総務省が公表した改定版のガイドラインに盛り込んだ。
改定版ガイドラインでは、新たなモデルがβモデルと「β´モデル」の2種類に細分化された(図参照)。βモデルは、入札情報や職員の情報など重要な情報資産はLGWAN接続系に残し、グループウェアなど一部の業務システムやほとんどの業務端末をインターネット接続系に配置。画面転送によりインターネット接続系の業務端末でLGWAN接続系業務システムを利用できるようにする。一方のβ´モデルは、グループウェアや主な業務端末だけでなく、入札情報や職員情報を扱う情報システムもインターネット接続系に配置するモデルだ。
βモデル、β´モデルそれぞれにセキュリティ上必要な技術的対策や組織的・人的対策を規定し、当然、利便性を重視したβ´モデルにはより厳しい要件を設定している。なお、総務省地域情報政策室によれば、「β´モデルでは業務で利用する端末やシステムがほとんどインターネット接続系に配置されるので、インターネット接続系からLGWAN接続系の端末の画面を見る場面はあまり想定していない。ただし、β´モデルでもβモデルと同様に、必須のセキュリティ対策としてLGWAN接続系の端末の画面をインターネット接続系に転送することを求めている」という。
今さら聞けない
LGWAN-ASP
LGWANとはインターネットから切り離された行政専用の閉域ネットワークで、「Local Government Wide Area Network」の略。「地方公共団体情報システム機構」(J-LIS)が管理している。各自治体の庁内LANを相互接続しており、2003年に全市区町村が接続して本格運用を始めた。その後、アップデートを繰り返しており、現在のものは18年に運用を開始した「第四次LGWAN」だ。「LGWAN-ASPサービス」は文字通りLGWAN経由で提供されるアプリケーションやインフラなどのサービスで、登録には規定に沿ったサービス提供環境を構築し、J-LISの厳格な審査を経る必要がある。
[次のページ]先進自治体インタビュー 地方自治体のデジタル化・DX施策への影響は?
