シンクライアント総合研究所
奥野克仁

本連載では、30年以上にわたり自治体および公的機関の情報基盤最適化を支援してきた、シンクライアント総合研究所 奥野克仁氏による特別コラムをお届けします。

はじめに

小職は大手システムインテグレータに在籍していた当時から、自治体、教育機関、医療機関を中心に情報基盤（ネットワーク、クラウド）の導入のお手伝いをしてまいりました。

現在は、地理的条件に加えコストや情報システム部門の人員確保に悩む人口5万人未満の中小自治体を中心に、情報基盤の刷新と最適化についてアドバイスさせていただいています。

本コラムでは、昨今の DX (デジタルトランスフォーメーション)の流れを受け、セキュリティ動向を踏まえ、自治体の皆様の今後の情報化基本計画等、情報化戦略策定に資する情報基盤構築の方向性について、お話させていただきます。

自治体 DX とセキュリティ

多くの業界で DX （デジタルトランスフォーメーション）が注目され、働き方改革のもとにパソコンを用いた業務環境が大きく変化しようとしています 。デジタル庁の設置に代表されるように、国は地方自治体等公的機関に対して DX への取組みの重要性を訴えており、「デジタル・ガバメント実行計画」における自治体関連の各施策について、自治体が重点的に取り組むべき事項・内容を具体化するとともに、自治体に「自治体 DX 推進計画」としてデジタル社会の構築に向けた取組みを要望しています。

「自治体 DX 推進計画」において、重点取組事項として自治体が優先的に取り組む事項として、「テレワークの推進」と「セキュリティ対策の徹底」が挙げられています。最新の事情として、コロナ禍における職員の業務継続性確保と生産性維持、緊急時における対応の迅速のため、従来の庁内業務以外の場所でPCや情報端末を利用可能とするテレワーク作業環境の整備と拡充が急務とされています。

そもそも「セキュリティ対策の徹底」については平成28年マイナンバー制度施行直前に相次いで発生した日本年金機構における情報漏えい事件や、各自治体へのサイバー攻撃に対する緊急対応として、国の補助金により整備が進められました。今回の「自治体 DX 推進計画」では最近の改定セキュリティポリシーガイドラインを踏まえ、セキュリティポリシーの見直しと最適なセキュリティ対策の徹底を求められています。

自治体におけるセキュリティ対策の現状

現在の多くの自治体で運用されている庁内ネットワークと端末環境は、平成28年のセキュリティ強靭化対策における考え方に基づいて整備されたものです。つまりセキュリティリスクに過敏になるあまり、過度にインターネットへのアクセスが制限されたネットワークにより、不正アクセスやマルウェア等の侵入を一切ゆるさないPCで業務を遂行する環境、庁外での業務を実施する上で著しく不自由な環境となっています。このため、昨今のコロナ禍でテレワークを行いたくても、セキュリティルールを順守する PC の持ち出し許可を得るため、感染リスクを覚悟し登庁しなければならないなどの問題が発生しております。

自治体によっては庁外で安全に利用する環境として、莫大なコストを費やして、外部で安全に利用する環境整備（ VPN 、 VDI 等のシンクライアントシステム）を整備導入しているケースもあります。ところが、使い勝手が悪いという理由で、持ち込んだ個人 PC にデータをダウンロードして組織内のメール等に転送するなどにより、現場の判断で業務継続性と生産性を優先し、より使いやすい環境を勝手に導入することによって、セキュリティポリシーの対策基準や実施基準を逸脱した PC の利用が事実上行われている例もあります。

最新のセキュリティ脅威とリスク

IPA 発表の2021年の情報セキュリティ10大脅威では、ランサムウェアによる被害（1位）、標的型攻撃（2位）に加え、テレワーク等のニューノーマルな働き方を狙った攻撃（3位）が主要な脅威として挙げられています。　最重要脅威としてあげられる、マルウェア類の感染及び拡散をもたらす原因は、実に半分がEメールによるものであり、次いでアプリケーションの手動インストールによるものとされています。

特に E メールによる手法は年々巧妙化しており、配信失敗やメール容量の上限を超えた場合のアラートを装う手法やシステム管理者からのセキュリティ被害を装った隔離通知、パスワード期限切れの更新要求等を求めるケース、最近は保健当局を装ったコロナ関連のメッセージを装ったウィルスメールも急増しています。事前にセキュリティ対策についての講習を受けた職員であっても、業務で多忙なため、危険性を判断する余裕がないまま、添付ファイルを開いて（踏んで）しまう可能性（リスク）が高まりつつあります。

外界との接続を遮断、制限するはずのファイアウォール関連機器も、業者及び導入担当者の知識不足、パッチ適用作業による業務停止を忌避する側の圧力等から、ファームウェアのセキュリティパッチの適用を怠ったため、当該機器の IP アドレスがネットに公開されるなど、境界防御対策としての安全性を確保することが困難な状況となっています。

求められる「新しい時代」の働き方に対応したセキュリティ対策

フィルタリングを前提とした、ネットワーク中心のセキュリティ対策は当初セキュリティポリシーに寄せて厳重化したホワイトリストにより実施されていましたが、現場の要望に合わせて都度フィルタリング解除が求められました。また、ブラックリスト主体の運用は最新の攻撃（ゼロデイ）には役に立ちません。5年前のセキュリティ強靭化対策で定められたセキュリティポリシーを金科玉条として、ありとあらゆるリスクを回避する「外部からの不正アクセスを一切許さない」「情報を持ち出させない」といった過度なセキュリティ対策と PC 利用環境は時代遅れであり、自治体 DX 基本計画において、今後求められる「新しい時代」の働き方に対応していないのは明確です。

業務効率性や利便性を優先しつつも、限られた人的リソースやコストで、セキュリティインシデントによる致命的な被害を出さないために、今後は「侵入」され「感染」されることを前提としたセキュリティ対策に発想の転換が必要とされています。万一、組織内のネットワーク内部に侵入されて PC がマルウェアに感染しても、あるいは持ち出した PC が外部のインターネットから感染し組織内ネットワークに持ち込まれたとしても、損害を限定化し、組織内外に致命的な影響が波及しないよう、リスクを極小化できるような対策、いわゆる PC 利用環境のゼロトラスト対応が求められています。

完璧なセキュリティ対策というのは存在しません。どれだけコストをかけて多くのセキュリティソリューションを導入しても、リスクはゼロにはならないばかりが、多くのベンダーにより複雑化した環境により、原因究明から回復するまでに多くの時間や手間を要することになります。

次回からは、自治体の現場の皆さんに実際にアドバイスさせて頂いている、より具体的なトピックを取り上げていきます。第一弾として、国が提示する自治体情報セキュリティ対策の見直しについて、従来の境界防御対策から自治体 DX 基本計画に寄せた、セキュリティ対策における現実的なリスクアセスメントの実施と適切な管理策の方向性について解説します。