【2020年度版】自治体セキュリティ対策3つのポイント
2020年5月に、総務省より「自治体情報セキュリティ対策の見直しについて」の公表がありました。(*1)
本記事では、主に自治体情報セキュリティ対策についてどのように対応したらよいのか、クラウドセキュリティ製品のご紹介を交えてお伝えします。
(参照)(*1)総務省 「自治体情報セキュリティ対策の見直しについて」の公表」
自治体情報セキュリティ対策策定の背景
自治体における情報セキュリティ対策においては、2015年に年金機構の大規模情報漏洩の事案を受けて、地方自治体におけるセキュリティモデルを、個人番号利用事務系・LGWAN接続系・インターネット接続系にシステムを分離する「三層の対策」が実現されました。
その一方で、三層の対策を実現したことで自治体内情報ネットワークの分離・分割により事務効率の低下が発生しました。また、働き方改革によるリモートワークや行政手続きの電子化への対応の必要性が生じ、さらにサイバー攻撃の増加・巧妙化していることも受け、2020年5月に総務省より効率性・利便性を向上させた新たな「自治体情報セキュリティ対策の見直し」が発表されました。
自治体情報セキュリティ対策対応のポイント
ポイント①「インターネット接続系に属する端末のセキュリティ確保」
今回発表された対策の見直しにおいては、まず「三層の対策」が見直されました。
「三層の対策」では上図のように、システムが個人番号利用事務系・LGWAN接続系・インターネット接続系の3つに分離されます。
そして、見直された三層の対策、「新たなモデル(βモデル)」では、従来LGWAN接続系に配置されていた業務端末の一部をインターネット接続系に移行するとともに、業務システムの一部もインターネット接続系に移行することが示されています。
βモデルを実現することにより効率性・利便性は向上しますが、従来LGWAN接続系に配置されていた端末がインターネットへ接続することになるので、エンドポイントにおけるセキュリティリスクが高まります。
そこで、エンドポイントのセキュリティ対策として注目されるのが、従来のアンチウイルスに代わるセキュリティ対策「EDR」です。 「EDR」は「Endpoint Detection and Response」の略称で、「サイバー攻撃により攻撃者に侵入されることを前提として、エンドポイント(端末)で攻撃を検出、その後の対応を支援することを目的としています。
EDRは、端末を監視し、マルウェアやランサムウェアのような異常動作を検知/停止します。EDRは不審なファイルではなく動作を監視しているため、ランサムウェアやゼロデイ攻撃にも有効です。 EDRについては、「サイバー攻撃に対する新対策、EDRとは?」で詳しくご説明しておりますので、そちらも併せてご確認ください。
ポイント②「CDNの導入」
次に、自治体情報セキュリティ対策の一環として、次期「自治体情報セキュリティクラウド」の在り方が見直されています。
次期自治体情報セキュリティクラウドの見直しでは、現行の次期自治体情報セキュリティクラウドにはセキュリティレベルの差があるため、国が標準要件を提示し、民間ベンダがクラウドサービスを開発・提供することにより、セキュリティ水準の確保とコストの抑制を実現することが目的とされています。
そして、次期自治体情報セキュリティクラウドの見直しの具体的な要件として、災害時等のアクセス集中を想定した負荷分散機能(CDN)の実装が挙げられています。
CDNは「CDNサービス」の利用が主流となりますが、Webセキュリティ対策も同時に求められることから、CDN機能やDDoS対策機能を有しているクラウド型WAF(Web Application Firewall)を選定することを推奨いたします。
これにより、セキュリティ強化とコスト削減を同時に図ることができることもあります。
CDNについては、「CDNとは?セキュリティ対策も一緒にできちゃう?」で詳しくご説明しておりますので、そちらも併せてご確認ください。
CDNはCDN単体でも導入可能ですが、Webセキュリティ対策で利用されるWAF(Web Application Firewall)がCDNの機能を有している場合もあるので、CDNを搭載したWAFを選定することで、セキュリティの強化とコストの低減を図ることができることもあります。
ポイント③「ネットワーク分離環境の見直し」
最後に、今回の総務省による発表は現状のネットワーク分離環境の課題を見直すタイミングともなるでしょう。
ネットワーク分離の方法には「物理分離」、「論理分離」、「仮想分離」がありますが、それぞれにメリットがあるとともに、課題を抱えています。主に物理分離におけるデータの受け渡し、論理分離における脆弱性の存在、仮想分離におけるファイルの扱いなどが挙げられます。
ネットワーク分離においては、高い安全性と利便性を両立させることが重要となります。 ネットワーク分離の詳細や課題の解決については、「利便性を訴えるネットワーク分離の罠」で詳しくご説明しておりますので、そちらも併せてご確認ください。
まとめ
自治体情報セキュリティ対策のポイントについてご理解いただけましたでしょうか。
今回の自治体情報セキュリティ対策におけるセキュリティのポイントは、「エンドポイントセキュリティ」、「CDN」となるでしょう。
NTTテクノクロスでは、自治体情報セキュリティ対策への対応として、CDNを搭載したWAF「TrustShelter/WAF」、ネットワーク分離環境下でのデータ受け渡しソリューション「データブリッジ」をご用意しております。
自治体様へのセキュリティ製品の導入について、ご相談やサービス詳細のご希望がございましたらぜひNTTテクノクロスにお気軽にご連絡ください。
※本コラムに掲載している商品またはサービスなどの固有名称は、各社の商標または登録商標です。