自治体通信ONLINE
  1. HOME
  3. 自治体職員寄稿
  5. 《自治体DX推進計画における“6つの重点”~6》セキュリティ対策の徹底
自治体職員寄稿2023.02.10

《自治体DX推進計画における“6つの重点”~6》セキュリティ対策の徹底

    《自治体DX推進計画における“6つの重点”~6》セキュリティ対策の徹底

    【自治体通信Online 寄稿記事】
    自治体DX完全ガイド~season2~#7
    (電子自治体エバンジェリスト/合同会社 KUコンサルティング 代表社員/豊島区 元CISO・髙橋 邦夫)

    自治体DX推進と「クルマの両輪」をなす「セキュリティの徹底」はどうあるべきか―? 多数の自治体のアドバイザーを務める電子自治体エバンジェリストの髙橋 邦夫さん(KUコンサルティング代表社員/豊島区 元CISO)に、今さら聞けない基礎、見落とされがちなポイント、他自治体事例など自治体DXの全体像を解説してもらいます。

    “自治体なりの対策”を進めるべき

    今回はセキュリティ対策の徹底についてお話しいたします。

    みなさまは、自治体がDXを進め、「新しい働き方」を実現するうえで「情報セキュリティ対策」が大きな課題であるとお思いではないでしょうか。確かにその通り。では、具体的にどのような情報セキュリティ対策を講じるべきでしょうか。

    私は総務省「地方公共団体における 情報セキュリティポリシーに関する ガイドライン」(令和4年3月版)等の国のガイドラインのポイントを理解した上で、自治体なりの対策を講ずるべきだと考えます。

    四層モデル

    下の図をご覧ください。こちらは私が考えた「四層モデル」です。原則は総務省のガイドラインと同じですが、総務省が提唱する「三層の構え*」と違うのは「パソコンのネットワークをつくる」点です。

    *三層の構えマイナンバー利用事務系、LGWAN接続系、インターネット接続系を分離する情報セキュリティシステム。三層分離とも言われる。

    筆者が勧めている「4層モデル」

    それぞれの情報をどこのネットワークに入れたらいいか。そこを考えるのは大事ですが、「パソコンはどこかに属する必要は別にない」と私は思います。前回お話ししたテレワークの今後の普及を考えると、パソコンだけのネットワークをくわえた四層という形もありではないでしょうか。
    (参照:《自治体DX推進計画における“6つの重点”~5》テレワークの推進)

    分離ではなく「ゼロトラスト・ネットワーク」を

    次の図は、私が座長を務めている文部科学省「教育情報セキュリティポリシーに関するガイドライン」で推奨しているシステムのイメージです。

    文部科学省が「今後の推奨」としているイメージ(文部科学省「教育情報セキュリティポリシーに関するガイドライン」より抜粋し、加工)

    教職員は公務員よりも柔軟な働き方を求められており、それを担保するため「ゼロトラスト・ネットワーク*」という考え方を適用しています。

    *ゼロトラスト・ネットワークセキュリティを高めるために、「組織内からのアクセスは安全」という前提をしないネットワークのモデルのこと。

    つまり、ネットワークを分離するのではなく、「誰がその情報に触っていいか」「どのパソコンからであれば、その情報に触っていいか」「どの時間帯であれば、その情報にアクセスできるか」といった点を考えて、システム構築したらどうかというのがこの図の意図です。

    今回のまとめ

    まとめます。DXを推進しつつ今後の自治体の情報セキュリティ対策を検討するうえで、

    • ガイドライン絶対ではなく「ビジョンを実現するための方策」を考える
    • 情報セキュリティインシデント(事件・事故)を重大化させないことが対策の肝
    • DXを進めると同時にインシデント対応体制(CSIRT*)も構築する
    *CSIRTComputer Security Incident Response Teamの略。読みは「シーサート」。情報セキュリティ事件・事故に関する報告を受け取り、調査および対応活動を行う組織体の名称。

    この3点が重要ではないかと思います。

    ガイドライン通りにやれば十分ということではなく、「ビジョンを実現するためには、どのような環境が必要か」を考えようということです。

    また、どんなに素晴らしい取り組みをしても、事件・事故を起こしてしまっては元も子ありません。

    事件・事故の発生確率をゼロにすることは不可能です。ですから、万が一にも起きてしまった場合に備えて重大化させない対策、事件・事故に対応するCSIRTと呼ばれる体制をあらかじめ構築することが重要です。

    労働人口減少、社会全体のデジタル化など、いま時代は未曾有の大変革期を迎えています。これに自治体および自治体職員が対応するには自治体DXが不可避です。そして、自治体DXを円滑かつ確実に進展させていくためには、情報セキュリティ対策の徹底が求められます。

    自治体DXと情報セキュリティ対策はクルマの両輪であり、このクルマの行き先は「ビジョンの実現」であることを念頭に入れ、みなさまの自治体のDXを進めていただきたいと考えます。

    いち早く情報をお届け!
    メルマガ登録はこちらから
     メルマガ登録をする 

    ★ 本連載の記事一覧

     ★動画で自治体DXのポイントをお伝えするseason1はこちら

    自治体通信への取材のご依頼はこちら

    ■ 髙橋 邦夫(たかはし くにお)さんのプロフィール

    電子自治体エバンジェリスト
    合同会社 KUコンサルティング 代表社員
    豊島区 元CISO(情報セキュリティ統括責任者)
    1989年豊島区役所入庁。情報管理課、税務課、国民年金課、保育課などに勤務。2014~2015年は豊島区役所CISO(情報セキュリティ統括責任者)を務める。
    2015年より総務省地域情報化アドバイザー、ICT地域マネージャー、地方公共団体情報システム機構地方支援アドバイザー、文部科学省ICT活用教育アドバイザー(企画評価委員)、2016年より独立行政法人情報処理推進機構「地方創生とIT研究会」委員。2018年豊島区役所を退職、合同会社KUコンサルティングを設立し現職。
    豊島区役所在職中、庁舎移転に際して全管理職員にテレワーク用PCを配布、また庁内LANの全フロア無線化やIP電話等コミュニケーションツールを用いた情報伝達など、ワークスタイルの変革に取り組む。庁外では、自治体向け「情報セキュリティポリシーガイドライン」、教育委員会向け「学校情報セキュリティポリシーガイドライン」策定にかかわる。
    自治体職員としての29年間、窓口業務や福祉業務を経験する一方、情報化施策にも継続的に取り組んでおり、情報化推進部門と利用主管部門の両方に所属した経験を活かし、ICTスキルとともにDX推進のための組織の問題にもアドバイスを行っている。一関市のほか、深谷市、飯島町など10を超える自治体のアドバイザーを務めるほか、電子自治体エバンジェリストも務める。
    著書に『DXで変える・変わる 自治体の「新しい仕事の仕方」』(第一法規)がある。

    〈受賞歴〉
    • 2015年:総務省情報化促進貢献個人等表彰において総務大臣賞受賞
    • 2019年:情報通信月間記念式典において関東総合通信局長表彰(個人)受賞
    • 2022年:情報通信月間において総務大臣表彰(個人)受賞

    〈連絡先〉kuconsul@ybb.ne.jp

    本サイトの掲載情報については、企業から提供されているコンテンツを忠実に掲載しております。

    提供情報の真実性、合法性、安全性、適切性、有用性について弊社(イシン株式会社)は何ら保証しないことをご了承ください。

    電子印鑑ならGMOサイン 導入自治体数No.1 電子契約で自治体DXを支援します
    自治体通信 事例ライブラリー
    公務員のキャリアデザイン 自治体と民間企業の双方を知るイシンが、幅広い視点でキャリア相談にのります!