Posted: 06 Feb. 2023 4 min. read

第14回 地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】

<連載>持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか

近年、ビジネスモデルの変革や生産性の向上を図る目的で、民間に限らず、政府・地方公共団体においてもデジタル化の推進が図られています。2016(平成28)年12月に官民データ活用推進基本法(平成28年法律第103号)が成立し、データ流通環境の整備や行政手続のオンライン利用の原則化など、官民データの活用に資する各種施策の推進が政府の取組として義務付けられました。2017(平成29)年5月には同法及び高度情報通信ネットワーク社会形成基本法(平成12年法律第144号)に基づく取組を具体化するものとして、「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」(平成29年5月30日閣議決定。令和元年6月14日改定。)(以下「デジタル宣言・官民データ計画」という。)が策定されました。

特に、デジタル宣言・官民データ計画の重点分野の一つであるデジタル・ガバメント分野における取組については、2017(平成29)年5月に「デジタル・ガバメント推進方針」(平成29年5月30日高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定)が策定されました。当該方針では、本格的に国民・事業者の利便性向上に重点を置き、行政の在り方そのものをデジタル前提で見直すデジタル・ガバメントの実現を目指すこととされています。

デジタル・ガバメント実行計画は、官民データ活用推進基本法及び「デジタル・ガバメント推進方針」に示された方向性を具体化し、実行することによって、安心、安全かつ公平、公正で豊かな社会を実現するための計画として、2018(平成30)年1月に初版が策定されました。その後、2019年(令和元年)12月に施行されたデジタル手続法(情報通信技術を活用した行政の推進等に関する法律(平成14年法律第151号))第4条に基づく情報通信技術を利用して行われる手続等に係る国の行政機関等の情報システムの整備に関する計画と一体のものとして、2019年(令和元年)12月20日に閣議決定しています。

また、その後の取組の進展や、新型コロナウイルス感染症への対応で明らかになった課題を踏まえ、2020年(令和2年)12月25日に改定されました。

現在、地方公共団体はデジタル・ガバメント実行計画に基づき、GovCloudへの移行を令和7年度末までに推進しています。本稿では、GovCloud移行後のセキュリティ対策について紹介させて頂きます。

■ 地方公共団体のGovCloud移行後おける庁内ネットワーク構成および論点

図表 地方公共団体の情報処理インフラ(2025想定)と監査上の論点

 

 

パターン①:GovCloud上でSaaSとして提供する場合

 

パターン②:GovCloudの仮想サーバ上でオンプレとして提供する場合

 

パターン③:GovCloudにリフトせず地方公共団体がシステム基盤を調達する場合

 

本稿ではパターン③までを紹介しましたが、その他としてGovCloud以外で稼働するSaaSを利用する場合なども考えられることにご留意ください。

地方公共団体が提供するサービスや設備は住民にとって必要な社会インフラであり、利用者の便益を高めるためにデジタル化が重要です。市民や利用者にとって重要なインフラを提供し、多くの情報を有する地方公共団体において、デジタル化の推進に伴ってサイバーリスクへの対応の強化を図ることは必要不可欠なことになっているのです。

(出所)「デジタル・ガバメント実行計画」

 

本連載のバックナンバー

第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)

第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】

第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】

第4回 M&Aにおけるサイバーセキュリティ

第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】

第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】

第7回  情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】

第8回  クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】

第9回  転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】

第10回  サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】

第11回  デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】

第12回  断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜

第13回  地方公共団体DXに伴うサイバーリスクの高まり【地方公共団体におけるセキュリティ対策】

第15回  スマートシティ推進における個人データの保護・活用

プロフェッショナル

河部 修司/Shuji Kawabe

河部 修司/Shuji Kawabe

有限責任監査法人トーマツ パートナー

国、地方自治体、国公私立大学、独立行政法人等の公的機関に対するITアドバイザリー及びセキュリティ監査等のコンサルティングサービスに従事。 また、ICTを活用した情報化推進計画策定、業務分析・業務改善など多数経験している。

伊藤 益光/Masumitsu Ito

伊藤 益光/Masumitsu Ito

デロイト トーマツ サイバー合同会社 パートナー

政府・公共向けサイバーセキュリティサービスのリーダー、およびアセットを活用したビジネスなど新規ビジネスの創出を手がけている。日本および米国にて、25年以上のサイバーセキュリティおよびテクノロジーリスクのコンサルティング経験を有する。