情報セキュリティーの強化について:2.三層分離による運用

今回は、技術的セキュリティ対策について、特に総務省が提唱してきた「三層分離」について、お話ししたいと思います。

静岡県をはじめとする地方自治体は、マイナンバー系、LGWAN接続系、インターネット接続系をそれぞれ分離して運用しています。

それは、行政上重要なデータを取扱うマイナンバー系や業務端末の多くがあるLGWAN接続系のネットワークをインターネットという脅威にさらされやすい空間からそれぞれ切り離し、サイバー攻撃などから守っているのです。（下図を参考にしてください。）

インターネット接続系ネットワークでは、住民とのやり取りやホームページ公開のためにインターネット空間に接続されていることから、外部からのサイバー攻撃を受けるおそれが高く、危険性の高いネットワークであると言えます。

そこで、この「インターネット接続系ネットワーク」の安全を確保するため、自治体情報セキュリティクラウドが重要となってきます。

自治体情報セキュリティクラウドは、自治体のネットワークからインターネット空間に繋がる接続口に設置され、門番のような役割を果たしています。外部から自治体側のネットワークを守るとともに、自治体側から外部にデータが流出しないように監視を行っています。

外部からの脅威といえば、まずは、各自治体のホームページがサイバー攻撃を受けて閲覧できなくなる、内容が改ざんされてしまうといったことが考えられます。これに対しては、ホームページへのアクセスを監視して、サイバー攻撃があればこれを遮断します。

また、メールやホームページの閲覧に伴い、添付ファイルや悪意のあるホームページに仕掛けられたプログラム等からウィルスが拡散し、データが流出したりシステムが破壊されたりするおそれがあります。そのため、これらの害のあるデータがそのまま職員に届かないように対策を行っています。

（下図、自治体情報セキュリティクラウドの主な対策ポイントです。）

対策ポイント詳細

1. 各自治体の公開Webサイトへのアクセス対策
   • WAF(Web Application Firewall)による防御
2. インターネットメールへの対策
   • メールに添付されているマルウェア(※)の検知・駆除
     （※）利用者に不利益をもたらす悪意のあるソフトウェア等の総称
3. Web閲覧・通信への対策
   • RLフィルタによる不正なサイトへのアクセス禁止
   • Webアクセス時のマルウェア検知

先日も、徳島県の病院がサイバー攻撃の的となり、患者データがランサムウエアに感染し、全て暗号化される事件がありました。後に、データを復元してほしければ連絡しろとの脅迫内容が送られてきました。病院では脅迫は無視することにしましたが、新たなシステムとデータを整備するために2億円以上を費やす必要が生じました。

自治体では、このようなことで、決して住民情報が漏洩、悪用されることがあってはなりません。できる限りの対策を講じていくことが自治体の使命だと思います。

終