自治体の三層の対策(三層分離)の見直しから考えるセキュリティへの取り組み方とは
- INDEX
-
自治体の三層の対策(三層分離)の見直しによる効率性と利便性の向上、及びセキュリティ強化が行われました。企業や組織としても学ぶべき部分があり、セキュリティを強化するために取り入れるべき考え方でもあります。
今回は、自治体の三層の対策の見直しに関する基礎知識や企業や組織、または公共団体や公的機関として関係する部分、及び取り入れるべきポイント、セキュリティ性の高い情報資産の一元管理を導入すべき理由についてご説明します。
自治体の三層の対策(三層分離)の見直しとは
はじめに自治体の三層の対策の見直しについて見ておきましょう。
そもそも、三層の対策(三層分離)とは何か
三層の対策(三層分離)とはインターネット分離やWeb分離、ネットワーク分離と同様に、業務に利用するデータの保管やシステムの構築されている領域と実際にサービスを提供する部分の領域、または外部インターネットとの接続を分離してセキュリティ性を高める仕組みや考え方を指します。
・個人番号及び個人情報を利用する業務
・自治体を維持するための業務
・インターネットの接続を必要とする業務やサービス
自治体では上記のような形で3つの業務を行う領域を分離することで、セキュリティ性を高めていました。三層分離することで、サイバー攻撃による被害、または内部不正による被害を物理的、システム的に排除するのが目的だったと言えます。
三層の対策を見直すことになった背景
三層の対策を見直すことになった背景としては、2015年の年金機構の情報漏えいのインシデントの発生により、三層の対策を見直したものの、ネットワークを分離したことによる作業効率や利便性の低下が明らかになったことが理由です。
実際に2020年初頭の新型コロナウイルスの影響によって全国民に配られることになった給付金の事務作業においても、二度手間、三度手間となるような手順を踏まねばならず、自治体によっては給付に大幅な遅れてしまったという報道もされていました。
三層の対策によってセキュリティ性や安全性を確保しながら利便性や効率性を維持できた行政サービスもありますが、政府や官公庁、自治体全体の効率化や利便性の向上が図れていなかったことも、三層の対策を見直すきっかけになったと言えます。
三層の対策の見直しの具体的施策
・マイナンバー利用事務系の分離に係る見直し
・LGWAN接続系とインターネット接続系の分割に係る見直し
上記は三層の対策の具体的な施策として発表されたものです。ひとつはマイナンバー系のサービスにおけるユーザビリティの向上やオンライン化に対応すること。そしてもうひとつは基本的には従来の三層の対策を活かしつつ、効率性や利便性の向上となる新たなモデルの創出を行うことが具体的な施策の主な目的とされています。
・住民情報を中心とした特に機密性の高い情報を扱う領域
・職員に関する機微な情報や非公開情報を中心とした機密性の高い情報を扱う領域
・インターネットメールや機密性の低い情報を扱う領域
上記のような形で改めて三層の領域を見直すとともに、自治体セキュリティクラウドの構築やサイバー攻撃の対策を強化する取り組みを行うこととしています。
企業や組織、または公共団体や公的機関として関係する部分や取り入れるべきポイント
次に企業や組織として三層分離の見直しで関係する部分や取り入れるべきポイントについてご紹介します。
将来的に官公庁とオンラインでつながるための準備を始める
業界や業種、または規模によってはITに疎い、またはITが苦手などの理由でIT技術を存分に受け入れていないことも珍しくありません。
しかし、デジタル庁の創設やマイナンバーカードを利用した行政サービスの提供など、政府官公庁や自治体において本格的にオンライン化や電子化が進めば、民間企業としてもオンライン化や電子化に対応する必要がでてきます。
例えば、マイナンバーに対応するためには、パソコンやブラウザの操作、ICカードリーダライタの使い方などを理解し、導入しなくてはなりません。その他にもウイルス対策ソフトや基本的なセキュリティ知識を学ぶことなど、安全にオンラインでつながるための準備を始めておくべきと言えます。
物理的かつシステム的な分離を理解し導入する
自治体の三層の対策から見えてくるのは、サイバー攻撃などの外的な要因を物理的かつシステム的に分離しながらも、利便性や効率性を低下させない工夫が求められるということです。
まずは物理的かつシステム的な分離を理解し導入すること、セキュリティ性を確保すること、同時に利便性や効率性を損ねないための業務区分や領域の策定を行いましょう。
例えば、顧客情報を保存や利用する領域、顧客情報の一部を取扱いながら業務を行う領域、その両方をインターネットを介して情報収集や連絡手段として対応する領域など、まずはインターネット分離から始めるのがわかりやすいです。
DXの推進が必要である理由を把握しておく
政府や官公庁、自治体が電子化やオンライン化を進めているのは、少子高齢化による人材不足の他、このままDXの推進が遅れれば国家を揺るがす大問題になりかねないと危惧されているのが理由です。
企業や組織においても同様であり、今までのアナログなやり方が決してダメというわけではないにせよ、デジタル化できなければ淘汰されてしまう可能性が否めません。
同時に、DXを推進したけれどセキュリティ性が伴わずに情報漏えいを起こした、またはサイバー攻撃による被害を受けてしまったなどのインシデントを起こしてしまえば元も子もありません。企業や組織としての信用を失ったり、巨額の賠償金を支払ったりしなければならず、結果的に倒産や廃業に追い込まれてしまうということも理解しておく必要があります。
DXの推進は、セキュリティ対策とセットで考えなければリスクを呼び込んでしまうということも、把握しておくべきということです。
セキュリティ性の高い情報資産の一元管理を導入すべき理由
次に、セキュリティ性の高い情報資産の一元管理を導入すべき理由をご紹介します。
情報資産及びIT資産の一元管理とは
情報資産及びIT資産の一元管理とは電子的なデータやパソコンやタブレット、スマートフォンなどのデバイス、それらのOSやソフトウェアの管理、そしてセキュリティに関する対策を一元管理することを指します。
三層の対策と同じように情報資源へのアクセスをデバイス単位、アカウントやユーザー単位で制限したり、フィルタリングやIPアドレス制限によってシステム的に三層分離を実現することが可能です。
情報資産及びIT資産を管理するツールを導入する
情報資産及びIT資産を管理するツールとは、例えば当社の提供する「AssetView」のようなツールであり、サイバー攻撃対策、情報漏えい対策、内部不正対策の機能を備えながら、業務効率化、利便性の向上を損ねないものを指します。
IPアドレス制限、Webフィルタリング、データへのアクセス権限の割り振り、PCの操作ログやアクセスログの取得や監視が可能であり、セキュリティ性と透明性の確保、そして従業員の労務や勤怠についても一元管理が可能です。もし、三層分離や三層の対策の見直しを知ることによってセキュリティ強化をしたいとお考えであれば、この機会にぜひともご相談、お問い合わせください。
テレワークや働き方改革、DX推進の一助に
情報資産及びIT資産管理ツールはテレワークや働き方改革、DX推進の一助となるのは間違いありません。実際問題として同じことを普通のパソコン、無料のソフトウェアで実現するためには、時間的なコストの浪費に加えて、ITに関する知識や経験を持つ技術者を確保しなくてはなりません。
しかし、情報資産管理及びIT資産ツールを導入することで、実務の効率化や利便性を低下させず、むしろ向上しながらセキュリティ性の確保が可能となります。単にDXの推進のためにデジタル化をするだけではリスクがあるということを踏まえると、安心・安全にDXを推進するためには必須のツールと言えるでしょう。
公共団体、公的機関の規模の大小に関わらず三層の対策(三層分離)を見直す
政府官公庁、地方自治体、そして民間における三層の対策(三層分離)の見直しをすべきという今、小規模の公共団体や公的機関においても、規模が小さいから、影響力がないからと甘い認識でいることはおすすめできません。
政府官公庁及び地方自治体、民間が安全だから自分たちは関係ないと考えてしまうのは危険であり、公共団体や公的機関だからこそサイバー攻撃に狙われると考えるべきです。
言い換えれば、何らかの個人情報、機密情報、利益となるIT資産や情報資産を持ちえている団体、組織であれば無関係ではいられなということ。規模や業務内容に関わらず、この機会に三層の対策の見直しするとともに、セキュリティ体制の強化を行うことをおすすめします。
テレワークやVPNなど新しい生活様式、アフターコロナに向けて取り組むべきこと
次にテレワークやVPNなど新しい生活様式、アフターコロナに向けて取り組むべきことをご紹介します。
テレワークやVPNの普及に伴い、サイバー攻撃の被害も増えている
新しい生活様式やアフターコロナなど、テレワークを含めて新しい生き方・働き方が模索されている時代が訪れました。そのため、テレワークを狙ったサイバー攻撃の被害も増えており、企業や組織としてもセキュリティ対策の強化が求められています。
VPNの利用も進んでいることから、VPN機器の脆弱性を狙った被害も増えており、VPNだから安全と過信していると、リスクが増大する恐れもあります。昨今ではランサムウェアと呼ばれる情報資産を暗号化し、身代金を要求するようなマルウェアへの感染も相次いでいます。サイバー攻撃は対岸の火事ではありませんし、企業や組織の規模が小さいから、重要なデータがないからと他人事ではいられないということです。
急なテレワークやVPNの利用にセキュリティが追いついていないことも
サイバー攻撃の被害が増えているのは、急なテレワークやVPNの利用にセキュリティが追いついていないことが原因です。被害を受けないためにも、社内や組織内と異なるアクセス方法やデバイス、または安全性を確保しつつ外部にネットワークを開放するための設定など、今までとは違ったセキュリティ対策を行う必要があります。
事実、単にVPNを外部から接続できるようにしただけ、認証情報を知っていれば誰にでもアクセス可能、個人所有のデバイスを管理せずに利用させているなど、脆弱性やセキュリティホール、リスクでしかないテレワークやVPNの利用も散見されます。何をすれば安心・安全に作業が業務ができるのか把握し、管理する側、雇用する側がセキュリティ体制を強化しなくてはならないのです。
そもそも、情報システム部やセキュリティ担当が不在の場合も多い
日本ではセキュリティ人材が不足しています。なぜなら、企業や組織においてセキュリティに関する経験や知識が不足しており、通常の作業や業務、部門や部署のように人材を育成するノウハウがないためです。
そのため、そもそも情報システム部やセキュリティ担当が不在のまま、テレワークに突入してしまうことも仕方がないと言えます。同様にVPNについてもよくわからず、ファームウェアのアップデートやデバイス自体の更新など、何もわからず、とりあえず外部からアクセスできるようにしてしまったケースもあるでしょう。これらの積み重なった課題や問題が放置されたままであることを、悪意のある第三者は理解しており、だからこそサイバー攻撃の標的とされ、直接的な被害を受けてしまうのです。
DXの推進の前にセキュリティ性の確保、セキュリティ体制の構築が必須
テレワークもいわゆるDX推進に含まれる仕組み、考え方のひとつです。働き方改革やより良い職場環境への改善、時短や妊娠・出産・育児・介護などに対応するためとも言えます。企業や組織としていくつもの課題や問題を解決するためにDX推進を行っているのに、逆に被害を受けるような状況に陥ってしまう理由とも言えます。
まずはDX推進の前にセキュリティ性を確保すること、セキュリティ人材の確保、情報システム部の設置、セキュリティ担当の配置など、セキュリティ体制の構築が必須であること、必要に応じてDXの推進を一時的に停止させてでも、安全性を確保することを強くおすすめします。
地方自治体や官公庁でも同様の課題・問題を抱えているということ
地方自治体や官公庁において、人手不足、人材不足が課題や問題になっています。リソース不足の解消を目的にDX推進したものの、効率化や最適化を得られる段階まで進められていない、もしくは下準備や導入段階から進んでいないケースがあるということです。
企業や組織でも同様であり、セキュリティどころか通常の業務を行うための人的リソースが足りないこともあるでしょう。そのためにDXを推進したいのに、時間的・金銭的・人的なコストやリソースが伴わず、かえって職場が混乱することもあります。まずは足元の職場環境を良くすることから改善し、その上でセキュリティに注力できる環境に変化させるようなイメージを持ちましょう。
将来的なe-文書法、電子帳簿保存法への対応を視野にいれておくことの重要性
次に将来的なe-文書法、電子帳簿保存法への対応を視野にいれておくことの重要性について解説します。
e-文書法や電子帳簿保存法によって、守るべき情報資産が増える
e-文書法や電子帳簿保存法など、地方自治体や官公庁との情報のやりとりを電子化・オンライン化する動きが進んでいます。紙から脱却してペーパーレス化することは効率化や最適化の基盤となるため、ごくごく自然な流れです。
しかし、ペーパーレス化や電子化するということは、守るべき情報資産が増えるということでもあります。データとして保存しておくというのは実はそう簡単なことではありません。最低でも三ヶ所以上にバックアップを取ること、バックアップから復元できるようにしておくことなど、それなりの手間が掛かるということです。
情報資産が増えるということはサイバー攻撃の標的になりやすいということ
バックアップも含めて、情報資産が増えるということは、サイバー攻撃の標的になりやすいということでもあります。そのため、通常の業務で利用するデータ、バックアップ先のデータなど、場所ごとのセキュリティも必須になります。例えば、マスターとなるデータがランサムウェアに狙われても、バックアップから戻すことができれば問題ありません。しかし、バックアップ先のデータも含めて狙われてしまうと、結局は被害にあってしまうことになります。
マスターとバックアップとなるデータ:情報資産とみなして、一ヶ所にデータを集中させないこと、同時にそれぞれの場所でセキュリティ性を確保することなど、物理的な場所やネットワークで切り分けること、すなわち三層分離と同様の対応をすることが重要だと言えます。
デバイス、システム、ネットワークなど、全面的なセキュリティ対策が必須に
サイバー攻撃はデバイス、システム、ネットワークなど、どれかひとつでも脆弱性があれば攻撃をしかけてきます。いずれかに侵入されてしまえば、偵察行動や窃盗行動によって、認証情報や情報漏えいおよびデータ改ざんの恐れが高まります。
デバイスであればOSやソフトウェアのアップデート、システムであれば脆弱性の排除とアクセス権限、IPアドレス制限、ネットワークであれば多要素認証など、全面的なセキュリティ対策と強化を意識しましょう。セキュリティには絶対安全ということはあり得ません。だからこそ、どれか一つが無効化や突破されてしまっても、その先で被害を拡大させない仕組みを備えておくことが大切です。
オンライン化や電子化が効率化や最適化につながるということを忘れずに
e-文書法や電子帳簿保存法など、オンライン化や電子化はリスクを増やすためのものではありません。将来的に訪れる少子高齢化に伴う人手不足に対し、効率化や最適化で対応するためのものだということです。
実際にペーパーレス化やオンライン化が進むことで、人的リソースを必要とする書類や伝票などの処理が電子化できます。電子的に処理が進められるものはRPAによる自動化が可能であり、人間でなくてもAIに任せることもできるでしょう。セキュリティが確保できないから、オンライン化や電子化もしない、ということではなく、将来に備えてセキュリティを確保し、オンライン化や電子化に対応できるようにしておくことを忘れないようにしてください。
将来的には電子決裁・電子契約などもごく当たり前になることを知っておこう
現時点においてもECなど電子商取引は既に実用段階に入っています。オンラインショップを構築しているメーカーも珍しくありませんし、デジタルデータを購入するのもごくごく当たり前の時代です。将来的には電子決裁、電子契約がさらに進み、紙による契約も少しずつ不要になっていくかもしれません。
だからこそ、情報資産やIT資産を守るため、安全に活用するためのセキュリティ基盤を構築する必要があるとも言えます。まだまだ完全なペーパーレス化・オンライン化・電子化・デジタル化は無理でも、未来においては当たり前になるということを理解し、早い段階から基盤を整えておきましょう。
まとめ:情報資産を重要視したデータに関する安全性の確保
今回は自治体の三層の対策(三層分離)の見直しに関する基礎知識や企業や組織、または公共団体や公的機関として関係する部分及び取り入れるべきポイント、セキュリティ性の高い情報資産の一元管理を導入すべき理由についてご説明しました。
実際に自治体や政府、官公庁がDXの推進や三層の対策の見直しを行うのは、既に現場レベルでは限界が訪れているということを示しています。現代では時間が掛かっても成果を出せば良いという時代ではなく、正確かつ迅速に結果や成果を出すことを求められているからです。
デジタル化したけれどセキュリティ性が確保できないような事態にならないためにも、情報資産を重要視したデータに関する安全性の確保を意識することおすすめします。