昨年来、自治体セキュリティ強靭化対策というテーマに関わったおかげで、自治体を始め、セキュリティコンサルタント、国内外のセキュリティソリューションベンダー、自治体へ提案をされるシステムインテグレータなど、いろいろな方とおつき合いする機会を得ることができた。そこでの交流、対話を通じて、この一年程の間に私が実際に見聞きし、感じたことを紹介しよう。

　まずは、自治体間の格差の大きさである。人口の差が財政的な格差に直結しているのは仕方のないことだが、それが情報の格差へと連動していることを改めて思い知った。財政的に乏しい自治体には、強靭化対策のための情報が十分に行き届いていない。実際、あるセミナーでの講演後、声をかけていただいた自治体の方は、提案にきている事業者は一社のみで、提案されたソリューション以外の提案を求めたが断られたとのことだった。

　次に、ベンダー側の知識不足である。私がうかがった自治体は、人口が30万、16万、10万、5万、4千という規模のものであるが、30万の自治体を除いて、他の自治体は適正な情報を十分得ることができていないという印象を受けた。これは、自治体側の責任というよりも、提案するベンダー側の知識が不足しているためと思われる。例えば、人口4千人規模の自治体では、9月末の時点で外部参照系のネットワーク分離について、具体的な提案がなく、パソコンの追加購入による対策を検討されていた。そこへ、端末仮想化によるネットワーク分離を説明し、簡単なデモを行い、概算見積を提示したところ、そんな程度で本当にできるのかという反応を示された。

　最後に、これは来春以降の予見であるが、強靭化対策ソリューションの導入後のトラブルに遭遇する自治体がいくつも出そうである。実際に自治体へ提案されている端末仮想化システムの仕様のなかには、限られた予算に合わせて仕様を低く見積もっているものがある。これもベンダー側の知識不足に起因するものだが、問題が露見するのは実際に稼働が始まってからになる。

　いずれの問題もセキュリティ製品に関する知識不足に起因している。自治体やベンダーの皆さんが、このテーマでお互いに情報を交換し共有できる仕組みや場がもっとあれば、この状況が改善される余地はあると思う。