個人利用においても、自治体や企業における業務対応においても、クラウドサービスの活用は増加傾向にあります。クラウドサービスは便利で業務の効率化にも寄与するものではありますが、反面、利用に際してはセキュリティ対策を施す必要があります。近年、クラウドサービスにおけるセキュリテイ対応が充実され、安全性が高まっていますが、不安を感じる利用者は少なくありません。そこで注目されているのがセキュリティクラウドです。今回はセキュリティクラウドについて紹介したうえで、自治体で導入が始まっている自治体情報セキュリティクラウドについて、仕組みや概要についても解説します。
■ 目次
セキュリティクラウドとは
クラウドサービスはいまや多くの企業、個人が利用しているサービスです。特別なインフラやソフトウェアを保持していなくても、サービスの提供者と契約を結ぶことで、Web上で提供されているサービスを利用できる仕組みになっています。
場所・時間を問わずデータにアクセスして、業務を遂行できるため、テレワークが進むなかで、クラウドサービスの利用が伸びる傾向にあります。
このように利便性の高いクラウドサービスは、個人ユーザーの数も増加していますが、一方で、パソコンごとにソフトウェアをインストールすることなく利用できるので、企業での利用は、セキュリティにおいて懸念があります。基本的には、サービスを提供しているベンダーがセキュリティ対応をするため、ベンダーのセキュリティレベルによって差があるのが現実です。
そこで注目されるのがセキュリティ対策が充実しており、安全に利用できるクラウドサービスであり、セキュリティ対策を万全に施したサービスのことを「セキュリティクラウド」と呼びます。
自治体情報セキュリティクラウドとは
セキュリティクラウドの概要を理解したうえで、自治体情報セキュリティクラウドについて確認していきましょう。
自治体情報セキュリティクラウドの概要
自治体情報セキュリティクラウドは、各都道府県と都道府県内の自治体(市区町村)がWebサーバー等を集約し、インターネットへの接続口の集約や監視、ログ分析や解析など、情報セキュリティ対策を高度なレベルで実施するものです。
都道府県単位の自治体情報セキュリティクラウドを提供することで、セキュリティ対策における市区町村間の格差が解消され、どの自治体(市区町村)においても、情報セキュリティ対策を強化した状態でインターネットを活用できるようになりました。
自治体情報セキュリティクラウドはなぜ導入されたのか
自治体情報セキュリティクラウドが導入される以前は、インターネットへの接続や情報セキュリティ対策については、各自治体に任されており、それぞれの方法で運用されてきました。そうなると、十分な予算を付けて取り組める自治体は情報セキュリティ対策を万全に行える一方で、予算が確保できない自治体ではセキュリティ対策が十分ではない、という格差が生じることになります。
そのようなときに発生したのが、日本年金機構の情報流出事件(2015年)です。この事件発生を受けて総務省が各自治体に向けて「三層の対策」等の情報セキュリティに関する抜本的な強化策を要請しました。
総務省からの要請に対応して、自治体では、2017年までに対応を完了しています。
自治体情報セキュリティの仕組み:三層の対策
自治体情報セキュリティクラウドは、情報セキュリティの水準を一定に保ちながらインターネットセキュリティサービスが提供されています。その一定の水準は総務省から通達された自治体向けの情報セキュリティ対策である「三層の対策」を実現したものです。
では三層の対策とはどういったものか、見ておきましょう。
三層の対策というのは、情報システムをそれぞれ情報によって3つの領域に分け、その領域ごとに対策を講じるものです。
- マイナンバーを含むデータの取り扱い(個人番号利用事務系)
- 地方公共団体どうしで接続する専用のネットワーク(LGWAN接続系)
- 機密性の高い情報は取り扱わないもの(インターネット接続系)
これら3つの領域ごとに分離をして最適なセキュリティを講じることで、リスクを分断し、全体のセキュリティレベルを過不足なく維持できるとされています。
ガバメントクラウドとの関係
デジタル庁が推進しているガバメントクラウドと自治体情報セキュリティクラウドとはどう違うのでしょうか。またそれらの関係はどのようになっているのでしょうか。ガバメントクラウドを理解しておきましょう。
自治体情報セキュリティクラウドは、都道府県単位で、各自治体が、Webサーバーを集約して、情報セキュリティレベルを高め、安全を確保しようとするものです。
一方、ガバメントクラウドは、デジタル庁が推進しているクラウドプラットフォームのことです。ガバメントクラウドの本格的な運用は2023年度に開始され、デジタル庁のWebサイトや農林水産省のシステム、マイナンバーカード制度の広報などがガバメントクラウド上で稼働を始めています。今後は各自治体情報システムの標準化においても、ガバメントクラウドへの移行を進めていく方針です。
最終的には、自治体の業務システムや基幹業務システムにおいて、ガバメントクラウドが検討されています。
自治体情報セキュリティクラウドを導入するメリット
では、セキュリティクラウドを導入することで、どのようなメリットがあるのでしょうか。主なメリットについて見ておきましょう。
高度なセキュリティ対策を適用できる
近年は自治体であっても企業であっても、また個人であっても、さまざまなセキュリティリスクがあります。たとえば、データ消失や破損、情報漏えい、サイバー攻撃、不正アクセスなどはよく耳にするリスクでしょう。こうしたセキュリティリスクは、自治体においては、地域の住民や地元企業への影響も大きくなります。
セキュリティクラウドはクラウド環境特有のリスクへの対応も、多様で高度なレベルで機能が備わっています。そのため、より安全にクラウド環境を維持できると考えられています。
短期間で導入できる
セキュリティクラウドは、サービス提供事業者と契約をすれば、すぐに導入・運用が可能となります。業務への適用も素早く行えるので、特別な準備をするための期間を計算して、導入する必要はありません。
コストの削減 ・ハードルが低い
セキュリティクラウドはオンプレミス型にくらべると、設備の用意が必要ない分、導入コストを低く抑えられます。また、メンテナンスやアップデートに関しても、クラウドサービス提供事業者が行うことになりますので、維持コストも削減できます。
運用する際にも、たとえば、オンプレミス型であれば、メンテナンスやアップデートするたびに自治体内の担当者が対応する必要があります。そのため、専門の技術や知識を有した担当者も確保しておかなければなりません。安全を保つための手間やコスト、技術・知識を持った担当者の確保など、運用するハードルもオンプレミス型にくらべて低くなるのがクラウド型だといえるでしょう。
漏えいのリスクを抑えられる
データが漏えいする危険性はデータを保存した端末を庁外へと持ち出し、紛失あるいは置き忘れることによって起こる可能性があります。クラウド型であれば、使用する端末にはデータが残りませんので、たとえ端末を紛失、置き忘れをした場合でも、データ漏えいのリスクは軽減されます。また高度なセキュリティ対策が施されたセキュリティクラウドであれば、不正アクセスによる情報の流出にも対応できます。
容量を拡張しやすい
容量拡張の可否やその費用については、利用するクラウドサービスにもよりますが、一般的に、オンプレミス型でスペックを変更して、容量を拡張するとなると、新たにサーバーを構築する必要がでてきます。
運用管理にかかる負担が少ない
上記でみた内容とも重複しますが、クラウド型であれば、導入のコストやスペックの拡張において、オンプレミス型のように新たな機材やサーバーを用意する必要がなく、クラウドサービス提供事業者が対応してくれます。こうしたことにより、運用管理にかかる負担が軽減できると考えられます。
自治体情報セキュリティクラウドの課題と次期情報セキュリティクラウドへの見直し
自治体情報セキュリティクラウドが抱えている課題
自治体情報セキュリティクラウドを実施し、各自治体においても、安心してインターネット活用が進められてきたなか、働き方の変化やさらなる脅威への対策を考えたとき、いくつもの課題が見えてきました。自治体情報セキュリティクラウドが抱えている課題についてみておきましょう。
課題①:都道府県間で情報セキュリティレベルが異なる
自治体情報セキュリティクラウドは、ガバメントクラウドとは異なり、都道府県単位で自治体が独自に検討して、整備・実施をしてきました。その結果、都道府県間において差が生じています。情報セキュリティレベルに差があるだけではなく、サーバーを提供し、監視をしている提供業者のレベルにおいても差があることがわかってきました。
課題②:テレワークに対応できない
自治体には重要な個人情報が集約されているため、自治体情報セキュリティクラウドでは、庁外からのLGWAN系ネットワークへの接続ができない仕組みになっています。言い換えれば、テレワークやリモートワークで個人情報を扱う業務には対応できないことになります。また、テレワークやリモートワークに対応できる環境を整えておくことは継続的な業務を遂行するうえでも重要です。たとえば、今回経験をした新型コロナウイルス感染症の流行拡大による外出禁止措置の際、また災害などで庁舎が被害を受けたり、職員の移動が困難になった場合にも、テレワークやリモートワーク環境が整っていれば、庁舎外からの連携や業務への対応が可能になります。こうした体制の整備は、住民や地域企業への行政サービスの向上、生活の安心安全を守る要件にもなります。
課題③:サイバー攻撃やウイルス対策が不十分
サイバー攻撃やウイルスは日々変化をし、巧妙な手口で侵入をしてきます。一方、自治体情報セキュリティクラウドは一定水準のセキュリティレベルを維持しているとはいえ、サイバー攻撃やウイルスが巧妙化するスピードに対応しているとはいえない状況です。より強固な情報セキュリティ対策が求められています。
次期情報セキュリティクラウドとは
2020年に、総務省が、「自治体情報セキュリティ対策の見直しについて」を公表し、その後、関係するワーキンググループによる検討会が開催されました。この検討会では、自治体情報セキュリティクラウドが抱えている課題への対策、なかでも自治体ごとのセキュリティレベルの違いをなくすための標準要件の設定や、構築コストの削減のための民間企業連携などを含めた検討がなされました。
次期情報セキュリティクラウドではモデルの選択が可能
新たな情報セキュリティ対策として、既存の三層の対策は維持したうえで、課題としてあがってきているテレワーク等の利便性・効率性を向上させることが見直されました。
従来の三層の対策は上記でも示したように、「個人番号利用事務系」「LGWAN接続系」「インターネット接続系」の三層に分離をして、セキュリティレベルを過不足なく徹底するものです。これはαモデルと呼ばれています。
このαモデルでは、情報の持ち出し制限や二要素認証などが採用されており、情報セキュリティを高めている一方で、外部での業務が行えないといった効率性と利便性に課題が残りました。
この点を見直したのがβモデルです。
βモデルは業務システムをLGWAN接続系に残したうえで、業務端末をインターネット接続系に移行しました。画面転送を通じて、LGWAN接続系の業務システムを使用することになります。
βモデルを採用することで、テレワークによる業務遂行がある程度は可能になることが期待できます。
標準要件
次期自治体情報セキュリティクラウドに係る標準要件として総務省が4つの項目を提示しました。
インターネット通信の監視
これは主にサーバーに関する要件であり、インターネット通信を安全な状態に維持するために監視することを要件としています。
たとえば、各自治体のWebサイトを運用するWebサーバーの監視や、各自治体の外部メールサーバーを中継するメールリレーサーバーを監視するほか、構成団体内のADサーバーを監視するなどが含まれます。
インシデントの予防
マルウェアをはじめとするウイルス対策や、トラブルを防ぐための要件を設けています。
このなかには、ゲートウェイ対策、メールセキュリティ対策、メールおよびインターネットセキュリティ対策、Webサーバーセキュリティ対策が含まれ、通信内容を検査し、不正な通信を遮断することを用途とした対応が求められています。
高度な人材による監視と検知
技術と専門知識を持った人材による監視や検索が行える体制の構築を要件としています。
各機器や監視対象システムのログを収集して不正な事象や異常を検知したり、トラブル発生時においては被害の拡大防止などを実施できたりすることが求められています。
対応と復旧
情報をバックアップしておくことや、その管理、復旧などにかかわる要件を設けています。
インシデントの予防のために、脆弱性や保守をもれなく管理することが求められています。
自治体がセキュリティ対策において意識すべき4つのポイント
自治体において安全にインターネットを活用するためには、次期自治体情報セキュリティクラウドを実施するだけで十分であると考えるのではなく、実施にあたっても以下の4つのポイントを意識して取り組む必要があります。
インターネット分離環境
自治体は地域住民や地域企業に関する重要情報を取り扱っています。そのため、コンピュータウイルスが侵入して情報漏えいの危険性を高めることは避けなければなりません。方法のひとつとしては、インターネットの分離環境構築を意識しておくべきです。
分離する方法には2つあります。物理的分離と理論的分離です。
物理的分離:
インターネット接続できる端末を限定して、物理的に分離する方法です。インターネット接続用端末と内部ネットワーク接続用端末をそれぞれ別に用意をします。しかし、この方法は1人当たり2台の端末を必要とするため、端末手配・管理にコストがかさみます。また2台の端末を使い分けることで手間や使い分けの不徹底など、人的ミスも誘発することが想像されます。そのため、物理的分離の方法より、次に紹介する理論的分離が普及傾向にあるようです。
理論的分離:
仮想ブラウザ等を使用して、理論上インターネットから分離した状況を構築する方法です。理論的分離にはいくつか方法があります。仮想デスクトップや仮想ブラウザを構築して、内部ネットワークと画面転送で通信を行うものや、HTMLレンダリング技術を応用したもの、リモートブラウザなどが利用されています。なかでも、リモートブラウザが注目を集めています。リモートブラウザは、最小限の実行環境でブラウザソフトウェアのみを稼働させ、内部ネットワーク内の業務端末には画面情報と操作情報だけを転送する方法です。
次期自治体情報セキュリティクラウドの水準をクリアしているサービスを導入すること
次期自治体情報セキュリティクラウドの要件は、上記で見たとおり、4項目あります。
インターネット通信の監視、インシデントの予防、高度な人材による監視と検知、対応と復旧です。これらの基準を満たしたクラウドサービスを選ぶことが重要です。
サイバー攻撃やシステムダウンに備えた知識を身につけること
要件を満たしたサービスを導入していても、日々の業務において情報セキュリティ・リテラシーが職員に欠けていたのでは安全は維持できません。情報の扱い方(保存、管理方法)、パソコンの使用方法、ウイルスやサイバー攻撃への知識向上などについて職員が学べる機会を作ることが必要でしょう。
知見のあるエンジニア等が在籍するチームを作りトラブルに対応できる組織作りをすること
職員全体の情報セキュリティ・リテラシーを高め、日々の業務における意識を向上させたうえで、ウイルスや大規模なシステム障害が発生した際には、インシデント対応が可能な専門的な知識と技術を持った人材(チーム)が必要になります。職員のなかに適材を見いだし、組織作りをするのか、あるいは、外部から知見のあるエンジニアを採用しチーム作りをするのか、各自治体に適した方法で組織作りに早急に着手する必要があります。
自治体情報セキュリティクラウド導入事例
自治体が導入した情報セキュリティクラウドの具体的な事例を確認しておきましょう。
京都市:メールシステムの更改時に、自治体情報セキュリティクラウド実績のあるサービスを採用。すべてのメールを検査する体制を構築
セキュリティ対策と一体化させながらDXを推進している京都市では、業務をデジタル化するにあたり、デジタル化と一体で不可欠となるのが情報セキュリティ対策であるとしました。そのうえで、メールシステムの更改を機に実績のある多層的なメール防御の仕組みを検討しました。具体的には、入口対策としてファイアウォールの運用、Webサイトの改ざん検知やDDoS対策を進めてきました。さらに、職員が利用する端末については、セキュリティ対策ソフトを導入したほか、データを暗号化し、許可なく持ち出せない仕組みも整えました。そうした多面的な対策を講じたうえで、導入するメールセキュリティソリューションについて実績があり、総務省の求めるセキュリティ要件を満たすものを選択しました。選択したのはFortiMailです。LGWAN系は別ですが、インターネットへの出口・入口でFortiMailがゲートウェイとして動き、すべてのメールを検査している形が構築されています。
宮崎県:宮崎県デジタル化推進本部を設置し、セキュリティ対策状況を見直すことで、煩雑であった管理作業も解消
宮崎県では2015年の全国自治体への情報システム強靭化対策の通達を受け、翌年「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」をそれぞれ分ける「三層分離」を実施しました。2017年、インターネット接続点のセキュリティ対策を都道府県ごとに集約する「自治体情報セキュリティクラウド」の運用も始めています。また、2021年を「みやざきデジタル化元年」と位置付け、宮崎県情報化推進計画を策定しました。宮崎県では自治体内と外部との通信を監視し、悪性の通信や公務に関係のない通信をブロックできるフィルタリングを重要視しており、既存のネットワーク体制の見直しも進めました。従来は、IDS(不正侵入検知システム)と連携したフィルタリングを利用していましたが、Squid(オープンソースのWebプロキシサーバー)で運用していたため管理がかなり煩雑であったことが課題でした。そこで、IDSとの連携が可能で管理もしやすいプロキシとして、Webセキュリティ・アプライアンス製品「D-SPA」や「i-FILTER」を導入。純国産のプロキシで細かな機能がある点や、POST通信のバイト制限、ログイン、ファイルアップロード、メッセージ送信調整などの機能を評価しての選択でした。また、「D-SPA」はhosts機能や多段プロキシの設定など細かい調整が可能な点も、宮崎県のめざすスタイルに叶ったものであったと評価しています。
まとめ:セキュリティレベルの高い環境を構築し、自治体の業務の効率化や利便性の向上も実現させる
自治体においても業務効率化や利用住民の利便性向上を推進するためには業務のデジタル化、クラウドサービスの活用は加速度的に拡大していくでしょう。また業務のデジタル化を進め、自治体のDXを実現させることは住民にとっても、地域事業者にとっても望ましいことです。こうしたメリットを得るためには、同時に、情報を安全にセキュアな環境で活用しなければなりません。そして、常にサイバー攻撃やウイルスなどの脅威を理解し、セキュリティ・リテラシーを高めていく必要もあります。セキュリティ対策のひとつとして、自治体情報セキュリティクラウドの実施は必須です。より効率的で利便性の高い自治体サービスが提供するためにも、政府が求めているセキュリティレベルをクリアしたセキュリティクラウドサービスを選択し、導入することが重要だといえるでしょう。
一例として、BtoBプラットフォームが挙げられます。BtoBプラットフォームは国内の全拠点で、情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO 27001」の認証を取得しています。また、総務省から公表された「ASP・SaaSの安全・信頼性に係る情報開示指針」と「ASP・SaaSにおける情報セキュリ ティ対策ガイドライン」にもとづき、財団法人マルチメディア振興センターが審査・認定を行うASP・SaaS 安全・信頼性に係る情報開示認定を受けています。また、一般社団法人クラウドサービス推進機構(CSPA) の「クラウドサービス認定プログラム」に認定されています。
なお、BtoBプラットフォームを提供するインフォマートでは、ハードウェア、ミドルウェア、アプリケーションなど、サービスに影響するすべてのシステムについて、24時間365日監視を行っていますし、毎日、定期的にバックアップを取得しており、データの確実な保全を行っています。取得したバックアップデータは、国内遠隔地のデータセンターにて厳重に管理・保管しています。提供側の体制、機能ともに、BtoBプラットフォームは、このように、安心してお使いいただけます。
ちなみに、LGWAN環境においてセキュリティを担保したままインターネット接続と同様に利用可能な「BtoBプラットフォーム on LGWAN」サービスもあり、安心して、民間企業との見積・契約・発注・納品・請求の業務のデジタル化・業務効率化・ペーパーレス化を実現します。
※本記事は更新日時点の情報に基づいています。
監修者プロフィール
一般社団法人 未来創造ネットワーク 代表理事
松藤 保孝 氏
自治省(現総務省)入省後、三重県知事公室企画室長、神奈川県国民健康保険課長、環境計画課長、市町村課長、経済産業省中小企業庁企画官、総務省大臣官房企画官、堺市財政局長、関西学院大学大学院 法学研究科・経営戦略研究科教授、内閣府地方創生推進室内閣参事官等を歴任し、さまざまな政策の企画立案、スリムで強靭な組織の構築、行政の業務方法や制度のイノベーションを推進。一昨年退官後、地域の個性や強みを生かすイノベーションを推進する活動を行う。
