第13回 地方公共団体DXに伴うサイバーリスクの高まり【地方公共団体におけるセキュリティ対策】

■ 地方公共団体におけるネットワーク構成

地方公共団体は情報システム全体の強靭性の向上を図るため、情報セキュリティ対策の抜本的強化が必要とされており、これを実現させる手法を「三層の構え」と呼んでいます。 三層の構えによる情報セキュリティ対策の詳細については、「新たな自治体情報セキュ リティ対策の抜本的強化に向けて」（平成 27 年 11 月 24 日自治体情報セキュリティ対策 検討チーム報告）及び「新たな自治体情報セキュリティ対策の抜本的強化について」 （平 成 27 年 12 月 25 日総行情第 77 号 総務大臣通知）等に記載されています。
 

図表 三層の構えによる自治体情報システム例

出所：総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年12月版）」
 

これまで、上図の通り三層の構え（三層分離）により強靭化を実施したことにより、リモートワークやテレワークを阻害要因となっています。令和2年12月に公開された「地方公共団体における情報セキュリティポリシーに関するガイドライン（以下、「ガイドライン」という）」により、これまでの構成をαモデルと定義し、新たにβ、β’モデルが追加されました。
 

図表 βモデルのイメージ

出所：総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年12月版）」

■ 地方公共団体における必要なセキュリティ対策

上述のガイドラインには、以下記載の義務が付されています。

（βモデルを採用する場合）

業務の効率性・利便性の向上を目的として、インターネット接続系に主たる業務端末を置き、入札情報や職員の情報等重要な情報資産をLGWAN接続系に配置する場合、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施しなければならない。

（β’モデルを採用する場合）

業務の効率性・利便性の向上を目的として、インターネット接続系に主たる業務端末と入札情報や職員の情報等重要な情報資産を配置する場合、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施しなければならない。

インターネット接続系における高度なセキュリティ対策（24時間365日監視）

地方公共団体は24時間265日監視を求められているものの、三層分離により決して十分と言える対策を行っていないのが現状です。しかし、今後はデジタル庁が中心となって推進するクラウド活用（Gov Cloud）もありインターネット空間との接続が拡がると考えられています。

また、昨今病院など準公共機関などでも甚大な被害が発生しているランサムウェアへの対策が求められており、NISC（内閣サイバーセキュリティセンター）は不正プログラムの感染拡大防止策としてEDR (Endpoint Detection AND Response)と呼ばれるソフトウェアを「政府機関等の対策基準策定のためのガイドライン（令和3年度版）改訂版」^*1で取り上げると共に、EDRの運用には専門的な知識と膨大なデータ分析スキルが求められることからSOC (Security Operation Center)と呼ばれるセキュリティ監視・運用サービスの利用を検討すると良いとしています。

しかし、個別の地方公共団体や準公共機関が個別に自前で24時間体制のセキュリティ監視・運用を行う環境を構築することは、人材採用・育成や必要な設備の整備といった面で非常にハードルが高いため、外部専門家の提供するSOCサービスの活用を検討することも一案と言えるでしょう。

地方公共団体が提供するサービスや設備は住民にとって必要な社会インフラであり、利用者の便益を高めるためにデジタル化が重要です。市民や利用者にとって重要なインフラを提供し、多くの情報を有する地方公共団体において、デジタル化の推進に伴ってサイバーリスクへの対応の強化を図ることは必要不可欠なことになっているのです。

*1: https://www.nisc.go.jp/pdf/policy/general/guider3_2.pdf

関連ページ

・デロイト トーマツ グループのサイバートップページ
・サイバー インテリジェンス センター

本連載のバックナンバー

・第１回 Cyber Everywhereの時代に求められる対応（GREAT RESET IN Cyber Security）

・第２回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察（投資家等外部ステークホルダーからの要請）】

・第３回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会（米国SEC）のサイバーセキュリティ開示の規則案への対応準備について】

・第４回 M&Aにおけるサイバーセキュリティ

・第５回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】

・第６回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】

・第７回  情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは？】

・第８回  クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】

・第９回  転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】

・第10回  サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】

・第11回  デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】

・第12回  断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜

・第14回  地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】

・第15回  スマートシティ推進における個人データの保護・活用