サイバーセキュリティ事業について(ネットワーク分離)・実施事例【自治体事例の教科書】
各自治体では、現代の情報化社会で起こりうる、さまざまな情報系の事故を未然に防ぐため、サイバーセキュリティ事業を実施しています。今回は、その中でも「ネットワーク分離」という対策の実施事例をご紹介します。
実例①徳島県
徳島県の令和元年度のガバナンス体制では、おおもとに「徳島県ICT推進本部」があります。これは、庁内での業務でICTを活用した業務改革を総合的かつ効果的に進めるもので、重要事項を決定するための組織として平成16年度に知事を本部長として設置されました。その下部組織にあたるのが、幹事会と専門調査会、官民データ活用推進会議です。幹事会の下には、セキュリティ委員会と調達管理委員会、最適化推進委員会があります。セキュリティ委員会では、職員に情報セキュリティ対策について周知させたり、情報セキュリティに関係する「内部監査」などを行います。
徳島県ではセキュリティ委員会の中で、サイバーセキュリティ事業の一環として、ネットワーク分離を実施中です。徳島県のネットワーク分離への取り組みは、平成27年12月に、総務省から「三層からなる対策」の要請を受けたことから始まりました。平成28年1月には、LGWAN接続系とマイナンバー接続系を分離させ、新たにマイナンバー系のネットワークを新しく構築しています。平成28年7月には、LGWAN接続系とインターネット接続系ネットワークを分離させ、インターネット環境の仮想化を実現しました。仮想化することで、庁内の端末から直接インターネットに接続できない環境を構築しています。
そして平成29年3月には、強固なセキュリティを県単位で一括管理する、自治体セキュリティクラウドを利用開始しました。
インターネット系(情報収集、インターネットメール、ホームページ作成、電子申請受付)では、インターネット接続環境を仮想ブラウザ方式にし、メールの添付ファイルの削除やHTMLメールのテキスト化により、メールの無害化を実施中です。これらのセキュリティ対策を行うことで、「LGWAN接続系」のメールに転送しています。
LGWAN接続系(人事給与、総務事務、文書管理、財務会計、LGWANメール)では、インターネット系ネットワークへのアクセス制御を実施しています。
マイナンバー系(住民基本台帳システム、団体内総合宛名システム、税、社会保障)では、情報ネットワーク端末からの分離、2要素認証(生体認証とパスワード)、データの持ち出し不可設定(USB管理ソフトの導入)を実施中です。マイナンバーとインターネット接続系とは通信を完全に遮断させています。
また、LGWAN接続系との通信については、原則として遮断した上で、業務上どうしても必要な場合に限り、十分なセキュリティ対策をとった上で通信を許可しています。
実例②兵庫県神戸市
兵庫県神戸市では、市の情報システムが取り扱う情報に市民の個人情報や行政運営上重要な情報が多数含まれていることから、情報資産をさまざまな危険や脅威から守るため、神戸市情報セキュリティ基本方針を定めています。対象にしている脅威は、サイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、情報資産の無断持ち出し、災害によるサービスおよび業務の停止、システム運用の機能不全、電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及など、種類が豊富です。
ネットワーク分離に関しては、情報セキュリティ対策として実施しています。まずマイナンバー利用事務系では、原則的に他の領域との通信をできないようにしています。その中で、端末からの情報持ち出し不可設定や端末への多要素認証を導入するなどして、住民情報の流出を防ぐ方針です。
LGWAN接続系では、LGWANと接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割しています。インターネット接続系では、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施しています。
実例③福岡県飯塚市
福岡県飯塚市では、市民や企業、大学、行政などがそれぞれ豊かに活動できるよう、ICTを活用しています。ICTを活用する際に大切になる情報通信基盤について整備している段階です。国によるICT環境の整備方針を踏まえ、飯塚市でも平成30年度から令和4年度までの5か年計画で市内の小中学校に向けて情報機器の導入を進めています。
平成30年度以前から教育現場へのICT機器の導入を進めてきた中で、2年間の実証研究校の成果をもとに、市内にあるすべての小中学校への導入が決まりました。平成31年度(令和元年度)における教育用パソコンの整備状況では、市内の小学校で全国平均を1.1ポイント、中学校では全国平均を1.5ポイント上回っている状況です。
一方で、ノートパソコンやタブレットパソコンの1台あたりの児童数を見てみると、小中学校の全国平均が14人であるのに対し、飯塚市は35.2人となっています。全国平均よりも約2.5倍もの格差があることから、円滑な授業を行うためにもノートパソコンやタブレットパソコンの整備が急がれているものの、一方で課題もあります。
ネットワーク環境の整備により効果的な指導方法を共有するために学校間ネットワークを構築していますが、導入するパソコン台数の増加に伴い課題となっているのが回線の負荷拡大、認証の脆弱性、情報漏えいです。
回線の負荷拡大については、インターネットに接続する回線が増えたことが原因で、学校とデータセンターの負荷が増加したり、ネットワークの通信速度が遅延したりする課題が浮き彫りになりました。そこで、新たに回線を設けてインターネット接続の安定化を図るほか、教育系と校務系のネットワークを分離して通信速度の遅延解消に取り組んでいます。
脆弱性については、学校アカウント認証から個人アカウント認証に切り替えてセキュリティを強靭化します。情報漏えいについては、ファイルサーバを暗号する防止策をとることになりました。
実例④神奈川県川崎市
神奈川県川崎市では、ICTの進展と情報セキュリティリスクの増大を問題点としています。情報セキュリティリスクにおいては、サイバー攻撃の脅威やIoTの普及によるセキュリティの脅威、サプライチェーンリスクを掲げています。そこで、川崎市でも情報システムネットワークの分離を実施中です。
ネットワークを基幹系(マイナンバー事務系)、情報系(LGWAN系)、インターネット系の3層に分離させています。基幹系は住民データを扱うシステムで、情報系は内部事務用システムです。また、24時間365日の利用を前提としている市民向けシステムは、IDCに設置して対策しています。
ただ、人為的エラーやシステムの設定ミス・誤作動によるセキュリティ事故は継続的に発生しているのが川崎市の現状です。サイバー攻撃への対策のみならず、事務手順の整備・再確認などさまざまな対策を入念に実施していく必要性を掲げています。そのため、セキュリティを守るために、副市長をCIO(最高情報セキュリティ責任者)にしたCSIRT体制を構築中です。この体制により、平常時のセキュリティ啓発を行うのはもちろん、セキュリティ事故に対して即応できる体制を整えています。
実例⑤岡山県岡山市
岡山県岡山市では、岡山市情報化指針を掲げています。この中で、岡山市は自治体情報セキュリティ対策の抜本的強化を進めています。これは平成27年6月に公表された日本年金機構における情報漏えい事案を受けて、新たに対策し直したものです。
その内容の中では、マイナンバー利用事務系において、原則的に他の領域との通信をできないようにすることにより、端末からの情報持ち出しを防ぎ、住民の個人情報の流出を徹底的に守ることが掲げられています。また、LGWAN接続系とインターネット接続系の分割や、自治体情報セキュリティクラウドの構築も実施している状況です。
<参照元>
徳島県_徳島県ホームページ_徳島発!「サイバー攻撃対策強化」実証実験の実施について
(https://www.pref.tokushima.lg.jp/ippannokata/sangyo/ict/5009977)
徳島県_徳島県ホームページ_ICT推進本部
(https://www.pref.tokushima.lg.jp/ict/governance/promotion/)
兵庫県神戸市_神戸市情報セキュリティ対策基準
(https://www.city.kobe.lg.jp/documents/19308/20190409014001-13.pdf)
兵庫県神戸市_神戸市情報セキュリティ基本方針
(https://www.city.kobe.lg.jp/documents/19308/20190409014001-12.pdf)
福岡県飯塚市_飯塚市学校ICT環境整備推進計画
(http://www.city.iizuka.lg.jp/gakuji/documents/suisinkeikaku.pdf)
神奈川県川崎市_川崎市情報システム全体最適化方針(案)
(http://www.city.kawasaki.jp/980/cmsfiles/contents/0000096/96968/0208_2(5)-2.pdf)
岡山県岡山市_岡山市情報化指針(2017~2021)【改訂版】
(http://www.city.okayama.jp/contents/000290651.pdf)
