デジタルエコノミーが提唱される現在、民間だけでなく行政業務もまたデジタル化に向かっている。マイナンバー制度の開始もその一環と言えるだろうが、安心してマイナンバー情報を取り扱うにはセキュリティの確保が不可欠だ。だがWebサイトの改ざんやDDoS攻撃にはじまり、日本年金機構で発生した標的型攻撃に代表される情報漏えいに至るまで、日本政府や関連組織、地方自治体を狙ったサイバー攻撃は増加の一途をたどっている。しかも残念ながら守る側では、十分なセキュリティ人材や予算が確保できているとは言い難い状況だ。
こんな切迫した状況を背景に総務省は2016年3月、地方自治体のセキュリティ強化を目的に、約236億円に上る補助金を交付することを決定した。市町村を対象とした「自治体情報システムの強靱性の向上」に約164億円、都道府県を対象とした「自治体情報セキュリティクラウドの構築」に約72億円の補助金を交付し、セキュリティ対策の実施を後押しする考えだ。
2016年11月10日にインテル セキュリティ(マカフィー株式会社)が実施した年次セキュリティカンファレンス「FOCUS JAPAN 2016」において、総務省 自治行政局 地域情報政策室 企画官を務める三木浩平氏が「サイバー攻撃のトレンドと自治体における情報セキュリティ強化」と題するセッションを行った。三木氏は前述の補助金交付をはじめとする自治体のセキュリティ向上に向けた総務省のさまざまな施策を紹介し、ソリューション選択時の留意点や今後に向けた取り組みにも触れた。
三木浩平氏
自治体を狙うサイバー攻撃も巧妙化、抜本的な対策は不可避
三木氏はまず「サイバー攻撃は、単にホームページをダウンさせるような業務妨害的なものだけでなく、住民情報を盗み出そうとするより悪質なものへと変化している。特に標的型攻撃は、どの段階で被害が発生したか分かりにくく、巧妙だ」と、攻撃のトレンドを解説した。
さらに狙った組織のメールアドレスの命名規則を把握して、情報を持っていそうな人を狙って標的型攻撃メールを送りつけるなど、時にはソーシャルハッキング的な手法も併用する巧妙な手口に注意を呼び掛けた。
「行政機関に対するサイバー攻撃のトレンドは、(民間企業を狙うものに比べ)遅れてやってくるし、それゆえ対策も遅れがちだ。自治体のセキュリティ対策の抜本的な強化が必要だ」(三木氏)
こうした危機意識を背景に総務省では、自治体のセキュリティ対策の抜本的な強化に向けた取り組みを進めている。目標とする時期は、2017年夏に予定されている情報提供ネットワークシステムの本格稼働開始のタイミングだ。それまでに各自治体のセキュリティ体制を強化し、安心してマイナンバー情報の連携を行える環境作りを進めるという。
ただ、「各自治体のセキュリティ対策を強化すべし」という方針には、法律的な裏付けがあるわけではない。そんな中で対策を後押しするために打ち出されたのが、2015年12月に出された「新たな自治体情報セキュリティ対策の抜本的強化について」とする総務大臣通知や前述の補助金制度であり、こうした枠組みを活用して、「インシデント即応体制の強化」や「攻撃リスクなどの低減のための抜本的強化対策」「各自治体の情報セキュリティ確保体制の強化」を推進していくという。
システム強靭性向上とセキュリティクラウドの二本立てで対策推進
総務省は攻撃リスクなどの低減のための抜本的強化対策として、「既存の住基システムのインターネットからの分離」に加え、「自治体情報システムの強靱性向上」と「自治体情報セキュリティクラウドの導入」を推進していく計画だ。
強靱性向上に向けた取り組みでまず進めるのが、ネットワーク分離の強化だ。広範な領域をカバーする地方自治体の情報システムを、住基ネットと接続される「個人番号利用事務系」と、文書管理などその他の業務に必要な処理を行う「LGWAN(総合行政ネットワーク)接続系」、そしてインターネットと接続しメールやCMSといった用途に利用する「インターネット接続系」の3つに分け、ネットワークレベルで分離する。「2016年度中にネットワークを分け、リスクを分断してもらうことが大きなポイントだ」(三木氏)
このうち個人番号利用事務系とLGWAN接続系の2つのネットワークについては、「IDとパスワードだけでなく、二要素認証を追加して強力なアクセス制御を行うこと、そして重要なデータの持ち出しは原則禁止とし、制限を加えることで番号データを守ろうと考えている」と三木氏は述べた。
もう一つの柱である自治体情報セキュリティクラウドは、「自治体が個々に高額なセキュリティソフトウェアを購入したり、専門人材を育成するのは難しい。そこで都道府県単位で1つの環境に集約することで、高度なセキュリティ対策の実施を目指す。集約して資源を共通で利用しつつ、ボトムアップを図っていく」という狙いで進められているという。
規模の大小や運用プロセスなど、自治体ごとの特性に合わせた対策を
三木氏は、一歩踏み込んで具体的な取り組みも説明した。例えば、扱う情報に応じてネットワークを分離したとしても、どうしても業務上インターネットを利用せざるを得ないシーンは生じる。こうしたときは、自治体ごとの規模や特性に応じて、ソリューションを選択すべきとした。
「例えば町村などの小さな団体ならば、別の部屋に物理的に切り離されたインターネット接続用の専用端末を用意するという方法があるだろう。一方、より大規模な自治体では、仮想端末を使って切り替える手法も考えられる。仮想端末と言っても、VDIやサーバベースドコンピューティングなどさまざまな方式があるが、価格や使い勝手、そして導入実績なども考慮して導入すべきだ。運用時の知見がないと、後で困ることも考えられる」(三木氏)
ソフトウェアのアップデートについても同様だ。小さな規模の団体ならば、何らかの媒体にアップデートソフトウェアを格納して端末を回って更新する、という手段でも対応できる可能性がある。また、ベンダーのライセンス体系を検討する必要はあるが、LGWAN-ASPを活用してアップデートサービスを利用するという手段もあり、これまた「価格や各自治体の環境を見て、どれにするかを検討すべき」とした。
ネットワーク間でのファイルの「無害化」も同様だ。一口に無害化といっても、「テキスト化」「サニタイズ」など複数の手法があり、中にはファイルの種類によっては適用が難しい方法もある。しかも、安全性と原本性のバランスをどこで取るかは運用する自治体によってまちまちだ。こうした要因を考慮して、それぞれにとって最適な方法を判断することが重要だと言う。
クラウドのベンダーだけでなく関連する全てのプレイヤーの連携が必要
2016年秋の時点で、自治体情報セキュリティクラウドは「まさに入札・調達作業の最中」(三木氏)だ。これまた自治体によって要件には差があり、全く同じスペックで全地方公共団体にサービスを提供するのは難しいが、必要な機能をクラウドに集約することで、単体では導入が困難なさまざまなセキュリティ対策を活用したり、専門人材による監視・分析を実現できるのは大きな利点と言えるだろう。
総務省が行った調査によると、自治体情報セキュリティクラウドの平均落札額は約3億3000万円で、ほぼ半数がISPや通信事業者が落札した。ファイアウォールやIDS/IPS、振る舞い検知、マルウェア・スパム対策といった主要な対策については100%採用されているほか、URLフィルタやWAFも9割以上で導入されるという。また、セキュリティ専門人材によるログ分析も95%採用されている一方で、イベント監視は5割程度にとどまった。リモートからも作業可能なモニタリングや解析の導入が進む一方で、インシデント時の現地調査のように現地での対応が求められる作業については、まだこれからといった段階のようだ。
その上で三木氏は、自治体情報セキュリティクラウド利用に向けた準備として、役割分担の明確化や運用体制の整備、関係者間での協議、SLAの設定といった取り組みが必要だとした。
中でも同氏が強調したのが運用体制の整備だ。「インシデント発生時に、どの段階で止めるか、回線を切断するかを取り決めておかなければならないが、その作業は自治体情報セキュリティクラウドの受注ベンダーだけでは完結しない。ローカルネットワークの運用を受託している事業者や情報システム担当者など、関連する全てのプレイヤーが連携しなければ対応が取れない」と述べている。
来年度に向けさらなる強化を、掲示板的な仕組みでナレッジの共有支援
総務省では、今回の施策でLGWANに接続している地方公共団体のセキュリティを強化できると考えている。そして次のステップとして、LGWAN経由で地方公共団体向けに電子入札や電子申請といった行政事務サービスを提供する「LGWAN-ASP」のセキュリティ対策強化を考えているという。
LGWAN-ASPはLGWANに接続した民間事業者が提供するもので、インターネット側からも利用できる仕組みだ。従ってこれについても、「ファイル受け渡し時の無害化をはじめとして、市町村と同様の対策を依頼していく」(三木氏)。同時に、LGWAN-ASPと連動し、電子署名の検証機能を提供する認証局についても、ホワイトリスト方式とブラックリスト方式を組み合わせるといった対策を講じ、「LGWANと外部がつながるところのセキュリティ対策を順次進めていく」(三木氏)とした。
同時に、技術以外の「ナレッジ」に関しても強化策を検討している。「大きな自治体ならば情報部門の職員とセキュリティベンダーとの意見交換の機会もあるが、小さいところはなかなかない。そういう人のため、オンラインで相談できる自治体向けのQ&Aサイトを作りたいと考えている。ボランティアで登録してもらった人材が、自治体からのセキュリティに関する質問に答える掲示板のような仕組みだ」(三木氏)
来年度に向けた予算要求の中では他にも、セキュリティアップデートプログラム配信の仕組みの整備や、LGWANとつながる政府共通ネットワークの対策などについても検討していくという。
このセッションは多くの来場者の興味を集め、講演後の質疑応答では活発に質問の手が上がった。このうち、「テレワーク構想とセキュリティ強化をどのように両立させるのか」という質問に対し、三木氏は「今後の重要な検討課題として認識している」と回答。どのような業務がテレワークに適しており、自宅からのテレワークでLGWAN系へアクセスできるようにすべきかどうか、何をどこまで許可するかといった事柄の整理がまず必要だとしている。
