地方公共団体におけるネットワーク構成
地方公共団体は情報システム全体の強靭性の向上を図るため、情報セキュリティ対策の抜本的強化が必要とされており、これを実現させる手法を「三層の構え」と呼んでいます。 三層の構えによる情報セキュリティ対策の詳細については、「新たな自治体情報セキュ リティ対策の抜本的強化に向けて」(平成27年11月24日自治体情報セキュリティ対策 検討チーム報告)及び「新たな自治体情報セキュリティ対策の抜本的強化について」(平成27年12月25日総行情第77号総務大臣通知)等に記載されています。
出所:総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」
これまで、上図の通り三層の構え(三層分離)により強靭化を実施したことにより、リモートワークやテレワークを阻害要因となっています。令和2年12月に公開された「地方公共団体における情報セキュリティポリシーに関するガイドライン(以下、「ガイドライン」という)」により、これまでの構成をαモデルと定義し、新たにβ、β’モデルが追加されました。
出所:総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」
地方公共団体における必要なセキュリティ対策
上述のガイドラインには、以下記載の義務が付されています。
(βモデルを採用する場合)
業務の効率性・利便性の向上を目的として、インターネット接続系に主たる業務端末を置き、入札情報や職員の情報等重要な情報資産をLGWAN接続系に配置する場合、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施しなければならない。
(β’モデルを採用する場合)
業務の効率性・利便性の向上を目的として、インターネット接続系に主たる業務端末と入札情報や職員の情報等重要な情報資産を配置する場合、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施しなければならない。
インターネット接続系における高度なセキュリティ対策(24時間365日監視)
地方公共団体は24時間265日監視を求められているものの、三層分離により決して十分と言える対策を行っていないのが現状です。しかし、今後はデジタル庁が中心となって推進するクラウド活用(Gov Cloud)もありインターネット空間との接続が拡がると考えられています。
また、昨今病院など準公共機関などでも甚大な被害が発生しているランサムウェアへの対策が求められており、NISC(内閣サイバーセキュリティセンター)は不正プログラムの感染拡大防止策としてEDR (Endpoint Detection AND Response)と呼ばれるソフトウェアを「政府機関等の対策基準策定のためのガイドライン(令和3年度版)改訂版」1 で取り上げると共に、EDRの運用には専門的な知識と膨大なデータ分析スキルが求められることからSOC (Security Operation Center)と呼ばれるセキュリティ監視・運用サービスの利用を検討すると良いとしています。
しかし、個別の地方公共団体や準公共機関が個別に自前で24時間体制のセキュリティ監視・運用を行う環境を構築することは、人材採用・育成や必要な設備の整備といった面で非常にハードルが高いため、外部専門家の提供するSOCサービスの活用を検討することも一案と言えるでしょう。
地方公共団体が提供するサービスや設備は住民にとって必要な社会インフラであり、利用者の便益を高めるためにデジタル化が重要です。市民や利用者にとって重要なインフラを提供し、多くの情報を有する地方公共団体において、デジタル化の推進に伴ってサイバーリスクへの対応の強化を図ることは必要不可欠なことになっているのです。
最新情報をフォローする
