全国の自治体は、総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン（以下、ガイドライン）」に基づいて情報セキュリティポリシーを策定し、情報セキュリティ対策を講じています。2020年（令和2年）12月、このガイドラインが改定されたことに伴い、各自治体においては従来の対策を見直す必要が生じました。
この記事では、改定された自治体の情報セキュリティ対策の概要と見直しの背景、ガイドライン改定のポイントをご紹介します。

これまでの自治体の情報セキュリティ対策

2015年（平成27年）、マイナンバー制度の開始を翌年に控えた状況で発生した、日本年金機構の大規模な個人情報流出事案を発端に、総務省は「自治体情報セキュリティ対策検討チーム」を発足しました。そこでの検討結果を受け、同年12月25日総務省は、各自治体に対し「三層の対策」と呼ばれる従来の情報セキュリティ対策を抜本的に強化する施策を要請しました。

「三層の対策」に基づく対応

三層の対策とは、自治体の情報システムネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つのセグメントに分離することを指します。各自治体は、三層の対策を進めると同時に、都道府県及び市区町村が協力してインターネット接続口を集約した上で、インターネット接続系において高度な情報セキュリティ対策を実施する「自治体情報セキュリティクラウド」を構築しました。
これらの取り組みにより、自治体の情報セキュリティ対策は短期間で大幅に強化されました。

「三層の対策」の詳細

前の項目でご紹介した、「三層の対策」における3つの層について、ここではさらに詳しくご説明します。

マイナンバー利用事務系

マイナンバー利用事務系は、住民情報（マイナンバーを含む）を中心とした特に機密性の高い情報を扱う領域です。各使用端末の情報を持ち出し不可とする設定などを実施し、自治体が保有するなかでも特に重要な機密情報である住民に関する情報の流出を徹底的に防止します。

LGWAN接続系

LGWAN（総合行政ネットワーク）は、自治体を相互に接続する行政専用のネットワークです。LGWAN接続系は、職員に関する機微な情報や非公開情報を中心とした機密性の高い情報を扱う領域です。LGWAN接続系では、インターネット接続系とのやり取りを無害化通信に限定し、分割することでセキュリティを確保します。

インターネット接続系

インターネット接続系は、メールや機密性が低い情報などを扱う領域です。「自治体情報セキュリティクラウド」を経由してインターネットと接続することで、外部インターネットに接続しつつセキュリティを維持します。

自治体情報セキュリティ対策見直しの背景

2015年から行われてきた自治体情報セキュリティ対策は、自治体業務におけるセキュリティインシデントが大幅に減少するなど、一定の効果を発揮しました。しかし、2020年には、自治体側の事務作業に不便が強いられるなどユーザビリティへの影響が生じたことや、システムのクラウド化、働き方改革（テレワーク）などの新たな時代の要請を受け、情報セキュリティ対策は大きく見直されることになりました。

ユーザビリティへの影響

自治体の情報ネットワークを分割・分離したことが原因で、マイナンバー利用事務系システムへのデータの取り込みや、メールの添付ファイル取得など、一部の業務で作業量が増加し事務効率が低下しました。

新たな時代の要請

政府が掲げるクラウド・バイ・デフォルトの原則に基づき、行政アプリケーションはクラウドサービスによる利用が基本となりました。また、デジタル手続法の施行により、行政手続きは紙の書類から電子データを利用する形態に変化するなどDX化が進んでいます。さらには、近年の働き方改革や情勢変化によって急増しているテレワークへの対応や、サイバー攻撃の増加・手口の巧妙化への対策も急務です。

このような背景から、「三層の対策」を含めた自治体情報セキュリティ対策が見直されることになり、2020年12月「地方公共団体における情報セキュリティポリシーに関するガイドライン」が改定されました。

・近年、増加傾向にあるサイバー攻撃の実態

前述した政府主導によるDX化やテレワークなどによる働き方の変化に伴い、サイバー攻撃による被害は増加している傾向にあります。以下は、2015年から2021年までの行政機関や一般企業などが被害を受けた不正アクセス事案の認知件数グラフです。

出典：［総務省］不正アクセス行為の発生状況「図1-1 不正アクセス行為の認知件数の推移」

注 : ここでいう認知件数とは、一般企業・行政機関等・プロバイダ・大学、研究機関等による不正アクセス被害の認知件数をいう。

2015年から2018年にかけては微増減を繰り返していましたが、2019年は前年のおよそ2倍もの件数に急増しています。それ以降は、減少傾向にあります。また同時に、巧妙な手口によるサイバー攻撃の増加も確認されており、より強固な情報セキュリティ対策の必要性を感じることができます。

地方公共団体における情報セキュリティポリシーに関するガイドライン改定の7ポイント

三層の対策が見直される原因となったユーザビリティへの影響や新たな時代の要請の両立を図るため、2020年5月に地方公共団体における情報セキュリティポリシーに関するガイドラインが改定されました。

主な改定内容

主に改定された内容は以下の7つです。

• マイナンバー利用事務系の分離
• LGWAN接続系とインターネット接続系の分割
• リモートアクセスのセキュリティ
• LGWAN接続系における庁内無線LANの利用
• 情報資産及び機器の廃棄
• クラウドサービスの利用
• 研修、人材育成

ここからは、地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年版）における7つの改定ポイントをご紹介します。

マイナンバー利用事務系の分離の見直し

住民情報の流出を徹底して防止する観点に変化はなく、他の領域とは引き続き分離します。並行して、「eLTAX（地方税ポータルシステム）」や「ぴったりサービス」など国が認めた特定通信に限定して申請などのデータを送受信可能とし、事務効率向上と行政手続きのオンライン化に対応します。

LGWAN接続系とインターネット接続系の分割の見直し

インターネット接続系に業務端末及びシステムを配置した「βモデル」と呼ばれる効率性・利便性向上を目的とする新モデルが提示されました（従来のモデルは「αモデル」と呼ばれる）。ただし、「βモデル」の採用には、情報資産のアクセス制御、監視体制や CSIRT など緊急時即応体制の整備、職員のリテラシー向上など「人的セキュリティ対策」の実施が条件となっています。

リモートアクセスのセキュリティ

取り扱う情報の重要度に合わせ、LGWAN接続系をテレワークで利用する際の基本的な考え方、リスク及びセキュリティ要件を追加しました。また同時に、テレワーク利用時に想定されるセキュリティリスクのモデルについても記載されました。

LGWAN接続系における庁内無線LANの利用

各自治体のLGWAN接続系において、庁内で無線LANを利用する際に求められるセキュリティ要件について記載されました。

情報資産及び機器の廃棄

2018年、神奈川県がリース満了により返却したパソコンの内蔵ハードディスクが盗難・転売され、保存されていた情報が流出する事案が発生しました。本事案を踏まえ、情報の機密性に応じた情報システム機器の廃棄について記載されました。

クラウドサービスの利用

自治体でのクラウドサービス利用を想定し、サービスレベルの検討の必要性やバックアップを含む必要なサービスレベルを保証させる契約など、クラウドサービスを利用するにあたっての注意点が記載されました。

研修、人材育成

各自治体における情報セキュリティ体制や、インシデントへの即時対応に関する体制の強化に関して記載されました。

ALSOKの情報セキュリティ対策

ALSOKでは、自治体の業務で必要となる情報セキュリティ対策強化に関するさまざまなサービスをご提供しています。ぜひ、ご活用をご検討ください。

まとめ