個人情報が集約する地方自治体のセキュリティ対策における現状と課題【総務省自治行政局地域情報政策室】

この記事は約 6 分で読めます。



どうも、サイバ課長サイよー。

2020年の東京オリンピック開催が決まって、日本がサイバー攻撃の標的なるリスクが高まっているサイ。セキュリティ対策の情報や専門性を持った人材は、東京に集約されているけれど、地方の現状も気になるサイよ。

役所や行政の外郭団体である観光協会などのセキュリティ対策はどうなっているのか。今回は、各地方自治体の情報セキュリティ対策を取りまとめる総務省自治行政局地域情報政策室に行ってみたサイ。お話してくれたのは、企画官の三木浩平氏。

ごめんくだサーイ。



ランサムウェアで金銭要求、市町村が狙われる

近年の各自自体に対するサイバー攻撃はどんなものがあるサイか?

三木浩平氏(以下、三木)
近年、各自治体から総務省を通じて内閣サイバーセキュリティーセンターに報告される事案は急増していますが、ほとんどはマルウェアによる被害です。以前は愉快犯によるサイバー攻撃が多かったのですが、2017年に入ってからはより実利的にシフト。特にランサムウェアで金銭を要求するといったケースが増えているのです。

報告された具体的な事案を教えてくだサイ。

総務省自治行政局地域情報政策室/企画官三木浩平氏

三木
2016年には愛媛の「新居浜市観光サイト」を騙る偽サイトが確認されました。このサイトはオンラインカジノサイトへの誘導に使われていて、新居浜市が公式ホームページで注意喚起を促す事態になりました。このケースでは、観光サイトで使用していたドメインを変更した際、すぐに旧ドメインを放棄したので他者に悪用されてしまったのです。

また、直近ではOSの脆弱性をついたランサムウェア「WannaCry」の報告もあります。これは、Windowsの脆弱性に対応した更新プログラムを適用しないまま使用されているパソコンがランサムウェアに感染。パソコン内のファイルが暗号化された上に、解除するための身代金を要求するメッセージが表示されるものです。

それは非常に怖いことサイね。

三木
そうですね。この事例はイギリスの国営医療事業やアメリカの運輸サービスなど世界150ヶ国、20万件以上の被害が発生しています。日本においては富士市消防本部や川崎市上下水道局で被害が確認されました。

なぜ地方自治体が狙われるサイか?

三木
一つは各市町村が住民サービスのために個人情報を多く扱っており、攻撃対象となる資産があるといった側面と、それを守る情報セキュリティのしくみや体制が団体によってバラつきがあるといった側面があると思います。

しくみや体制が不十分だと対応が属人的になるので、知見や意識の高い担当者がいるうちは、一定のセキュリティ水準が保たれているのですが、その後担当者が変わるなどすれば、作業のやり方がわからなくなり、例えばOSなど重要なソフトへのプログラム更新が放置されるケースも散見されます。

インフラの更新で根本的強化を実施

そう言った背景を受けて、どのような対策を施したサイか?

三木
まずは、情報セキュリティのしくみについて、全団体を一定の水準まで引き上げるという対策です。取り扱う情報の重要度に応じて、庁内のITインフラを3つに分類し、それぞれの特性に応じた対策をとります。

まず、個人情報を多く保有する住民記録や税、社会保障などのマイナンバー利用事務系のシステムについては原則として他の領域との通信をできないようにした上で、端末へアクセスする際の二要素認証や端末からの情報持ち出し不可設定を導入しています。

重要な情報については、アクセスと持ち出しを制限したサイね。地方自治体が相互に接続する行政専用のネットワークLGWANについては?

三木
LGWAN接続している庁内ネットワークには「人事給与」や「庶務事務」、「文書管理」など内部管理系のシステムがあり、多くの職員端末が利用します。従来は、これらの端末でインターネットも利用できていたのですが、今回の対策でLGWAN接続系はインターネットとは通信経路を分割しました。

インターネット接続系に関しては都道府県と市区町村が協力して、インターネット接続口を都道府県単位で一本化しました。自治体情報セキュリティクラウドといいます。事業規模が大きくなることで、高度なセキュリティソフトの導入やセキュリティ専門人材の確保などができるようになります。特に、町や村など予算や体制面でこれらの対策が難しかった団体には、有効だと考えています。

<参照>総合行政ネットワーク「LGWAN」/地方公共団体情報システム機構

サービス提供者として、各自治体のレベルアップが必要

今後の、地方自治体の情報セキュリティ対策における課題を教えてくだサイ。

三木
「人」の問題です。まず、事業者について、地方のITベンダーではセキュリティ専門家が不足しており、自治体からの相談や緊急時の現地対応に不安があります。セキュリティソフトのベンダーは、外資系企業が多く、セキュリティエンジニアの多くが大都市に集中しているなかで、どのように地方の自治体が知見の提供を得られるのか課題といえます。

また、いくらセキュティを守るITのしくみを構築しても、職員がルールを逸脱した使い方をしたら情報漏えいは防げません。例えば、各団体のセキュリティポリシーで規定されているにもかかわらず、USBメモリーでの個人情報の持ち出しや紛失が後を立ちません。個々の職員の意識があってこそ、セキュリティは確保できるのです。ITのしくみやセキュリティ担当職員、委託事業者に任せておけばできるものではありません。

セキュリティ対策をしすぎる、ということはないサイね。

三木
そうですね。日々、新たなセキュリティの脅威が出現しています。インターネットに繋がる機器が増えると、従来は情報システムだと思っていなかったものでも被害が発生するかもしれません。例えば、電話交換機について、事業者がメンテナンス用にインターネットでアクセスできるようにしていたところ、ソフトウェアを書き換えられたという事例があります。今後は、コピー複合機など、まだ被害が報告されていない機器についても警戒しなければなりません。

総務省自治行政局地域情報政策室の役割は?

三木
内閣サイバーセキュリティーセンターなどで検知したリスクや自治体から報告される事案の傾向を受けて、被害が拡大する前の早い段階で自治体に注意喚起することが重要だと考えています。

また、自治体が情報セキュリティポリシーを作成する際のガイドラインをアップデートすることにより、自治体の体制や職員の意識などについても対策を強化していきたいと考えています。

一般市民が生活する上で行政手続きは必要不可欠サイ。オリンピック開催地の自治体はもちろん、その他地方自治体もしっかり対策しなければならないサイね。ありがとうございました!

サイバ課長
新米セキュリティ担当課長。セキュリティについて新米すぎるので、資格取得のための勉強に日々。

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ