無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

どうも、サイバ課長サイよー。

2020年の東京オリンピック開催が決まって、日本がサイバー攻撃の標的なるリスクが高まっているサイ。セキュリティ対策の情報や専門性を持った人材は、東京に集約されているけれど、地方の現状も気になるサイよ。

役所や行政の外郭団体である観光協会などのセキュリティ対策はどうなっているのか。今回は、各地方自治体の情報セキュリティ対策を取りまとめる総務省自治行政局地域情報政策室に行ってみたサイ。お話してくれたのは、企画官の三木浩平氏。

ごめんくだサーイ。

ランサムウェアで金銭要求、市町村が狙われる

三木浩平氏（以下、三木）
近年、各自治体から総務省を通じて内閣サイバーセキュリティーセンターに報告される事案は急増していますが、ほとんどはマルウェアによる被害です。以前は愉快犯によるサイバー攻撃が多かったのですが、2017年に入ってからはより実利的にシフト。特にランサムウェアで金銭を要求するといったケースが増えているのです。

総務省自治行政局地域情報政策室/企画官三木浩平氏

三木
2016年には愛媛の「新居浜市観光サイト」を騙る偽サイトが確認されました。このサイトはオンラインカジノサイトへの誘導に使われていて、新居浜市が公式ホームページで注意喚起を促す事態になりました。このケースでは、観光サイトで使用していたドメインを変更した際、すぐに旧ドメインを放棄したので他者に悪用されてしまったのです。

また、直近ではOSの脆弱性をついたランサムウェア「WannaCry」の報告もあります。これは、Windowsの脆弱性に対応した更新プログラムを適用しないまま使用されているパソコンがランサムウェアに感染。パソコン内のファイルが暗号化された上に、解除するための身代金を要求するメッセージが表示されるものです。

三木
そうですね。この事例はイギリスの国営医療事業やアメリカの運輸サービスなど世界150ヶ国、20万件以上の被害が発生しています。日本においては富士市消防本部や川崎市上下水道局で被害が確認されました。

三木
一つは各市町村が住民サービスのために個人情報を多く扱っており、攻撃対象となる資産があるといった側面と、それを守る情報セキュリティのしくみや体制が団体によってバラつきがあるといった側面があると思います。

しくみや体制が不十分だと対応が属人的になるので、知見や意識の高い担当者がいるうちは、一定のセキュリティ水準が保たれているのですが、その後担当者が変わるなどすれば、作業のやり方がわからなくなり、例えばOSなど重要なソフトへのプログラム更新が放置されるケースも散見されます。

インフラの更新で根本的強化を実施

三木
まずは、情報セキュリティのしくみについて、全団体を一定の水準まで引き上げるという対策です。取り扱う情報の重要度に応じて、庁内のITインフラを3つに分類し、それぞれの特性に応じた対策をとります。

まず、個人情報を多く保有する住民記録や税、社会保障などのマイナンバー利用事務系のシステムについては原則として他の領域との通信をできないようにした上で、端末へアクセスする際の二要素認証や端末からの情報持ち出し不可設定を導入しています。

三木
LGWAN接続している庁内ネットワークには「人事給与」や「庶務事務」、「文書管理」など内部管理系のシステムがあり、多くの職員端末が利用します。従来は、これらの端末でインターネットも利用できていたのですが、今回の対策でLGWAN接続系はインターネットとは通信経路を分割しました。

インターネット接続系に関しては都道府県と市区町村が協力して、インターネット接続口を都道府県単位で一本化しました。自治体情報セキュリティクラウドといいます。事業規模が大きくなることで、高度なセキュリティソフトの導入やセキュリティ専門人材の確保などができるようになります。特に、町や村など予算や体制面でこれらの対策が難しかった団体には、有効だと考えています。

＜参照＞総合行政ネットワーク「LGWAN」／地方公共団体情報システム機構

サービス提供者として、各自治体のレベルアップが必要

三木
「人」の問題です。まず、事業者について、地方のITベンダーではセキュリティ専門家が不足しており、自治体からの相談や緊急時の現地対応に不安があります。セキュリティソフトのベンダーは、外資系企業が多く、セキュリティエンジニアの多くが大都市に集中しているなかで、どのように地方の自治体が知見の提供を得られるのか課題といえます。

また、いくらセキュティを守るITのしくみを構築しても、職員がルールを逸脱した使い方をしたら情報漏えいは防げません。例えば、各団体のセキュリティポリシーで規定されているにもかかわらず、USBメモリーでの個人情報の持ち出しや紛失が後を立ちません。個々の職員の意識があってこそ、セキュリティは確保できるのです。ITのしくみやセキュリティ担当職員、委託事業者に任せておけばできるものではありません。

三木
そうですね。日々、新たなセキュリティの脅威が出現しています。インターネットに繋がる機器が増えると、従来は情報システムだと思っていなかったものでも被害が発生するかもしれません。例えば、電話交換機について、事業者がメンテナンス用にインターネットでアクセスできるようにしていたところ、ソフトウェアを書き換えられたという事例があります。今後は、コピー複合機など、まだ被害が報告されていない機器についても警戒しなければなりません。

三木
内閣サイバーセキュリティーセンターなどで検知したリスクや自治体から報告される事案の傾向を受けて、被害が拡大する前の早い段階で自治体に注意喚起することが重要だと考えています。

また、自治体が情報セキュリティポリシーを作成する際のガイドラインをアップデートすることにより、自治体の体制や職員の意識などについても対策を強化していきたいと考えています。