出典：総務省ホームページ

自治体（地方公共団体）における情報セキュリティポリシーの策定を推進するため、総務省が作成した「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、2001年3月30日に策定され、セキュリティ環境の変化とともに数回の改訂が行われています。今回は、2015年の年金機能の情報漏れにより、総務省より通達された「三層の対策」から最新の2022年3月改訂までの遷移をまとめました。

自治体のセキュリティは「三層の対策」がベース

2015年11月。総務省は、自治体情報セキュリティ対策の抜本的強化に向けた報告書をまとめ、各自治体に対して、「三層の対策」での情報セキュリティ対策を求めました。

三層の対策とは

1. 既存の住基、税、社会保障などのマイナンバー利用事務系では、端末からの情報持ち出しを不可に設定し、住民情報流出を徹底して防止。
2. 人事給与、庶務事務、文書管理などのLGWAN接続系とインターネット接続系を分離して、LGWAN環境のセキュリティを確保。
3. 情報収集、メール、ホームページなどのインターネット接続系では都道府県と市区町村が協力して自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を実施。

参照 2015年11月24日発行　総務省：
「新たな自治体情報セキュリティ対策の抜本的強化に向けて」はこちらから

「三層の対策」を見直し、効率性と利便性を向上

総務省では2020年5月、「三層の対策」を見直し、効率性と利便性を向上させた新たな自治体情報セキュリティ対策をとりまとめ、2020年12月に、「地方公共団体における情報セキュリティポリシーに関するガイドライン」を改訂しました。
新しいガイドラインでは、従来のαモデルに加え、インターネットやクラウドサービスが利用しやすくなったβモデル、β‘モデルが新たに提示されました。三層分離のネットワークを維持しながら、セキュリティと業務効率や利便性を向上させるシステム構成の選択肢の幅が広がっています。

主な改訂ポイント

１. マイナンバー利用事務系の分離の見直し

住民情報の流出を徹底して防止する観点から他の領域との分離は維持。その上で、十分にセキュリティが確保されていると国が認めた、ガイドラインに明記された特定通信（例：eLTAX、ぴったりサービス）に限り、インターネット経由の申請などのデータの電子的移送を可能とし、ユーザビリティの向上及び行政手続きのオンライン化に対応

２. LGWAN接続系とインターネット接続系の分割の見直し

効率性・利便性の高いモデルとして、インターネット接続系に業務端末・システムを配置した新たな、モデル「βモデル」を提示（ただし、「βモデル」の採用には、人的セキュリティ対策の実施が条件。）

３. リモートアクセスのセキュリティ

業務で取り扱う情報の重要度に合わせ、LGWAN接続系のテレワークについて基本的な考え方、リスク及びセキュリティ要件とともに想定されるモデルを記載

４. LGWAN接続系における庁内無線LANの利用

LGWAN接続系において、庁内で無線LANを利用する場合のセキュリティ要件を記載

５. 情報資産及び機器の廃棄

神奈川県におけるHDD流失事案（リース満了により返却したパソコンの内蔵ハードディスクが盗難・転売され、保存されていた情報が流出する）を踏まえ、情報の機密性に応じた適切な手法等を整理

６. クラウドサービスの利用

クラウドサービスを利用するにあたっての注意点（サービスレベルの検討の必要性、バックアップを含めた必要なサービスレベルを保証させる契約締結等）を記載

７. 研修、人材育成

各自治体の情報セキュリティ体制・インシデント即応体制の強化について記載

参照 2020年12月28日改訂　総務省：
「地方公共団体における情報セキュリティポリシーに関するガイドライン」はこちらから

デジタル化の動向を踏まえ、ガイドラインを改訂

総務省は、2021年7月の「政府機関等の情報セキュリティ対策のための統一基準群」の改定及び自治体におけるデジタル化の動向を踏まえ、2022年3月に「地方公共団体情報セキュリティガイドライン」が改訂されました。

主な改訂ポイント

１. 業務委託・外部サービス利用時の情報資産の取扱い

• 業務委託・外部サービスを再定義した上で、取り扱う情報に応じて適切なセキュリティ対策を実施するよう記載
• 外部サービス利⽤時のライフサイクルに渡るセキュリティ要件や利用承認手続に関する規定を記載
• 今後のクラウドサービスの活用を見据えて、第三者認証制度や監査報告書をクラウドサービス選定の指標・基準等として、積極的に活用するよう記載を見直し

２. 情報セキュリティ対策の動向を踏まえた記載の充実

• 不正プログラム対策製品やソフトウェア等を導入するだけではなく、監視体制やCSIRTとの連携等の組織的な対応が必要である旨を記載

３. 多様な働き方を前提とした情報セキュリティ対策

• テレワーク実施場所等の運用面に関するセキュリティ対策を記載
• 支給以外の端末（BYOD）利用時の情報セキュリティ対策として、支給以外の端末に情報を保存させない対策や電子証明書等を用いて庁内ネットワークへ接続する端末を制限する対策を記載
• Web会議に部外者を参加させない対策を記載

４. マイナンバー利用事務系から外部接続先(eLTAX、マイナポータル)へのデータのアップロード

• リスクアセスメントの結果を踏まえ、マイナンバー利用事務系から外部接続先へのデータのアップロードを認めるとともに、必要となる情報セキュリティ対策を徹底

参照 2022年3月25日改訂　総務省：
「地方公共団体における情報セキュリティポリシーに関するガイドライン」はこちらから

自治体のセキュリティはインターネット分離から

多くの個人情報・機密情報を保持している自治体において、個人情報の保護対策強化は必至です。しかしながら、情報漏洩事故は後を絶ちません。サイバー攻撃の入り口の90%はインターネットです。例えばドライブバイダウンロード攻撃のように、いつも訪れているWebサイトを閲覧するだけでマルウェアに感染するなど、インターネットを利用するだけで知らず知らずのうちにマルウェアに感染することもあります。

これら攻撃への対策として自治体は様々なセキュリティ対策を行っていますが、インターネットに接続されている以上完全に防御することは難しいのが現状です。この状況を打開する有効な手段がインターネット環境の分離です。インターネット分離は自治体のセキュリティ対策のベースになっている「三層の対策」から機密情報・個人情報の流出を最小限に抑えるための対策として推奨されています。