地方自治法改正!「地方公共団体における情報セキュリティポリシーに関するガイドライン」を見据えたクラウドセキュリティ
この記事のポイント
- 「改正地方自治法」でサイバーセキュリティ強化について提言
- 自治体ではさまざまなセキュリティインシデントが考えられる
- ctcのセキュリティソリューションで強固な対策を
2024年6月、「改正地方自治法」が参議院本会議で可決・成立。自治体におけるサイバーセキュリティ強化に関する方針が盛り込まれました。これにより、総務省はサイバーセキュリティに関するガイドラインを策定し、これを元に地方公共団体ごとに基本方針策定(期限:2026年4月11日)と公表を義務付け。
2024年度中に最新版の「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公開する見込みとされています。
今後は基本方針を策定済みの自治体に関しても、ガイドラインに沿ってセキュリティ対策の見直しを進めていかなくてはなりません。そこで今回の記事では、自治体で発生しやすいセキュリティ上の脅威(セキュリティインシデント)を整理し、それぞれのセキュリティ対策について解説。
総務省「 令和5年度地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会における中間報告(令和6年3月13日) 」の内容を紐解きながら、セキュリティ対策の進め方をお伝えしたいと思います。
ctcは幅広いセキュリティソリューションをご用意しておりますので、ぜひ一度ご相談いただけますと幸いです。
自治体で発生が考えられるセキュリティインシデントとは?
直近においても民間企業における大規模なランサムウェア被害が記憶に新しいように、サイバー攻撃の脅威は自治体においても同様。
これまでも自治体で発生したマルウェアの感染や不正アクセス、あるいは機密情報の流出などの事案は多岐にわたりますが、ここであらためて、自治体で発生しやすいセキュリティ上の脅威(セキュリティインシデント)を整理しておきたいと思います。
ヒューマンエラーによる個人情報漏えい
やはり最初にお伝えしておきたいのは、「書類やUSBの紛失」「メールの誤送信」といったヒューマンエラーに起因する個人情報の漏えい。過去、複数の自治体でさまざまな個人情報漏えいに関するニュースが報じられてきましたが、その多くは「認識の誤り」「ちょっとの気の緩み」が原因で事案につながってしまったといっても過言ではありません。
市民の情報を大量に取り扱う自治体としては、何よりも個人情報の取り扱いに緊張感を持つことが大切。セキュリティリスクに関する認識を高めながら、必要な対策・運用を進めていくようにしましょう。
自治体ネットワーク・クラウドへの不正アクセス
自治体のネットワークを狙ったサイバー攻撃は件数として少ないとされているものの、まったくのゼロではありません。過去には、ある自治体が不正アクセスの被害にあい、個人情報が流出してしまった事案も報じられました。
自治体はデジタル環境における市民の信頼を守るため、セキュリティポリシーの見直しを重ね、強靭化されたネットワークを維持していくことが重要です。
委託企業先へのランサムウェア攻撃・マルウェア感染
委託企業をめぐる、個人情報の漏えい事案が数多く発生。2024年においても自治体の印刷業務などを委託していた民間企業がサイバー攻撃にあい、数十万人規模の個人情報が流出してしまったとされる報告があがっています。
自治体は「プロの業者に任せているから大丈夫」という認識をあらため、契約書にセキュリティ遵守の文言を盛り込むことはもちろん、業者の作業を確実にチェックすることが重要でしょう。
このように自治体のネットワーク環境は、さまざまな角度からセキュリティ被害につながることが前提となります。セキュリティ対策の重要性を今一度確認し、ガイドラインの内容を理解しながら適切な対策に向けて進めていくようにしましょう。
最新版「地方公共団体における情報セキュリティポリシーに関するガイドライン」
▼出典:総務省「 令和5年度地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会における中間報告(令和6年3月13日) 」
「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、各自治体のセキュリティー対策の指針として総務省が策定。国単位の情報セキュリティ対策・デジタル化の動向を踏まえた上で、有識者検討会での議論を経て改定が重ねられています。
2024年度中に最新版の「地方公共団体における情報セキュリティポリシーに関するガイドライン」が公開される見込み。同段落では、現時点の最新情報(令和6年3月13日付けの中間報告)を題材に、ポイントをおさらいしていきます。
自治体情報システムの情報セキュリティ対策「α’モデル」の検討
▼出典:総務省「 令和5年度地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会における中間報告(令和6年3月13日) 」
自治体情報システムの情報セキュリティ対策は、自治体のネットワークを「インターネット接続系」「LGWAN接続系」「マイナンバー利用事務系」の3つに分離することを推奨した、「三層の対策(以下、三層分離)」という強靭化されたものになっています。
三層分離の形態はこれまで「α(アルファ)モデル」「β(ベータ)モデル」「β´(ベータダッシュ)モデル」が示され、さらに現在は「α'(アルファダッシュ)モデル」の検討が進められています。
α’モデルの特徴は、LG-WAN系ネットワークから特定のクラウドサービスへの直接接続を可能にする「ローカルブレイクアウト」の採用でしょう。既存のαモデルからの移行負担が少ないことからα'モデルへの関心は高まっているようですが、移行にはネットワークインフラの見直し、担当職員の技術トレーニングなど、さまざまな調整が必要となることは明白。
ctcのようなネットワーク機器ベンダーへの相談を重ねながら、確実に移行を進めることが何より重要です。
ガイドラインに沿った最適なサービスをご提案!ctcのセキュリティソリューション
ctcでは巧妙化するセキュリティ被害に対し、お客さまのお悩みや環境をヒアリングの上、最適なサービスをご提案しています「地方公共団体における情報セキュリティポリシーに関するガイドライン」を見据えた対策をお考えの自治体さまは、ぜひctcにご相談をいただけますと幸いです。
最適なネットワークセキュリティの導入はもちろん、「サービスオペレーションセンター」「ログ管理」「教育・診断」など、強靭なネットワーク環境をワンストップでご支援。現状のネットワーク環境の調査・課題の洗い出しからサポートさせていただきます。
自治体のセキュリティ対策はctcがしっかりサポート。最適なサービスをご提案します!
繰り返しになりますが、最新版の「地方公共団体における情報セキュリティポリシーに関するガイドライン」は2024年度中に公開される見込み。各自治体は2026年4月11日の期限を目処に、ガイドラインを元とした基本方針の策定と公表が義務付けられています。
期限を待たずしても、日本では毎日のようにさまざまなセキュリティ被害が報じられています。その上で、セキュリティポリシーの見直しを重ね、強靭化されたネットワーク環境の維持に努めることは何よりも重要。まずはctcのようなネットワーク機器ベンダーへ「現状のネットワーク環境診断」「課題の洗い出し」から進めていくことをおすすめしています。
この記事を読んだ自治体ご担当者さまはぜひ、お問い合わせをいただけますと幸いです。
▼出典
総務省/「 令和5年度地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会における中間報告(令和6年3月13日)
