地方公共団体における情報セキュリティポリシーに関するガイドラインとは？改定の3つのポイント

全国の自治体は、総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン（以下、ガイドライン）」に基づいて情報セキュリティポリシーを策定し、情報セキュリティ対策を講じています。2020年（令和2年）12月にこのガイドラインが改定され、さらにその後2023年（令和5年）3月に再度改定されたことで、各自治体においては従来の対策を見直す必要が生じました。
この記事では、改定された自治体の情報セキュリティ対策の概要と見直しの背景、ガイドライン改定のポイントをご紹介します。

これまでの自治体の情報セキュリティ対策

2015年（平成27年）、マイナンバー制度の開始を翌年に控えた状況で発生した、日本年金機構の大規模な個人情報流出事案を発端に、総務省は「自治体情報セキュリティ対策検討チーム」を発足しました。そこでの検討結果を受け、同年12月25日総務省は、各自治体に対し「三層の対策」と呼ばれる従来の情報セキュリティ対策を抜本的に強化する施策を要請しました。

「三層の対策」に基づく対応

三層の対策とは、自治体の情報システムネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つのセグメントに分離することを指します。各自治体は、三層の対策を進めると同時に、都道府県及び市区町村が協力してインターネット接続口を集約した上で、インターネット接続系において高度な情報セキュリティ対策を実施する「自治体情報セキュリティクラウド」を構築しました。
これらの取り組みにより、自治体の情報セキュリティ対策は短期間で大幅に強化されました。

「三層の対策」の詳細

前の項目でご紹介した、「三層の対策」における3つの層について、ここではさらに詳しくご説明します。

マイナンバー利用事務系

マイナンバー利用事務系は、住民情報（マイナンバーを含む）を中心とした特に機密性の高い情報を扱う領域です。各使用端末の情報を持ち出し不可とする設定などを実施し、自治体が保有するなかでも特に重要な機密情報である住民に関する情報の流出を徹底的に防止します。

LGWAN接続系

LGWAN（総合行政ネットワーク）は、自治体を相互に接続する行政専用のネットワークです。LGWAN接続系は、職員に関する機微な情報や非公開情報を中心とした機密性の高い情報を扱う領域です。LGWAN接続系では、インターネット接続系とのやり取りを無害化通信に限定し、分割することでセキュリティを確保します。

インターネット接続系

インターネット接続系は、メールや機密性が低い情報などを扱う領域です。「自治体情報セキュリティクラウド」を経由してインターネットと接続することで、外部インターネットに接続しつつセキュリティを維持します。

自治体情報セキュリティ対策見直しの背景

2015年から行われてきた自治体情報セキュリティ対策は、自治体業務におけるセキュリティインシデントが大幅に減少するなど、一定の効果を発揮しました。しかし、2020年には、自治体側の事務作業に不便が強いられるなどユーザビリティへの影響が生じたことや、システムのクラウド化、働き方改革（テレワーク）などの新たな時代の要請を受け、情報セキュリティ対策は大きく見直されることになりました。

ユーザビリティへの影響

自治体の情報ネットワークを分割・分離したことが原因で、マイナンバー利用事務系システムへのデータの取り込みや、メールの添付ファイル取得など、一部の業務で作業量が増加し事務効率が低下しました。

新たな時代の要請

政府が掲げるクラウド・バイ・デフォルトの原則に基づき、行政アプリケーションはクラウドサービスによる利用が基本となりました。また、デジタル手続法の施行により、行政手続きは紙の書類から電子データを利用する形態に変化するなどDX化が進んでいます。さらには、近年の働き方改革や情勢変化によって急増しているテレワークへの対応や、サイバー攻撃の増加・手口の巧妙化への対策も急務です。

このような背景から、「三層の対策」を含めた自治体情報セキュリティ対策が見直されることになり、2020年12月「地方公共団体における情報セキュリティポリシーに関するガイドライン」が改定されました。

・近年、増加傾向にあるサイバー攻撃の実態

前述した政府主導によるDX化やテレワークなどの働き方の変化に伴い、サイバー攻撃による被害は増加している傾向にあります。以下は、2015年から2022年までの行政機関や一般企業などが被害を受けた不正アクセス事案の認知件数グラフです。

出典：［総務省］不正アクセス行為の発生状況「図1-1 不正アクセス行為の認知件数の推移」

注 : ここでいう認知件数とは、一般企業・行政機関等・プロバイダ・大学、研究機関等による不正アクセス被害の認知件数をいう。

2015年から2018年にかけては微増減を繰り返していましたが、2019年は前年のおよそ2倍に急増しています。それ以降は一時的に減少傾向にありましたが、2022年に再び増加しています。また同時に、巧妙な手口によるサイバー攻撃も増加しており、より強固な情報セキュリティ対策の必要性を感じることができます。

地方公共団体における情報セキュリティポリシーに関するガイドライン改定の3ポイント

三層の対策が見直される原因となったユーザビリティへの影響や新たな時代の要請の両立を図るため、2023年3月に地方公共団体における情報セキュリティポリシーに関するガイドラインが改定されました。

主な改定内容

主に改定された内容は以下の3つです。

• クラウドサービス利用に対応したセキュリティ対策
• 業務委託先管理の強化
• 昨今のサイバー攻撃に対するセキュリティ対策

ここからは、地方公共団体における情報セキュリティポリシーに関するガイドライン（令和4年版）における3つの改定ポイントをご紹介します。

クラウドサービス利用に対応したセキュリティ対策

クラウドサービスにおける情報セキュリティの国際規格（JIS Q 27017：JIS Q27002）を元に、クラウドセキュリティ対策基準が細かく追記されました。
加えて、現在は自治体ごとに異なる行政システムを利用していますが、2025年度末までにデジタル庁が整備している「ガバメントクラウド」を活用し、全国1741自治体において、20業務のシステムを標準準拠システムへ移行することを目指すと決定しました。

業務委託先管理の強化

外部委託先の利用時の情報セキュリティポリシーや新たな管理体制が定義され、「最小限の権限」や「複数人による確認」などを徹底する旨を記載しています。
委託事業者に対しては、最新版の従事者名簿の提出を求め定期的に確認することや、委託事業者の従業員が地方公共団体の情報セキュリティポリシー等を理解するための研修を行うことなどが必要となります。
また、運用面の支援として外部委託先がセキュリティ要件を遵守しているかどうかを確認するためのチェックシートを新たに作成したこともポイントになります。

昨今のサイバー攻撃に対する対策

感染被害が拡大しているEmotet（エモテット）を始め、ランサムウェア、フィッシング等のサイバー攻撃の特徴と対策がガイドラインに追記されました。
従来はOS、ソフトウェアのアップデートやファイアウォールなどの通信履歴を取得する程度の記載でしたが、今回からネットワークやサーバー別の対策についても解説されています。
また、IPSやWAFなどのより詳細な対策表記とともに気を付けるべき対策例とポイントなども記載されました。

ALSOKの情報セキュリティ対策

ALSOKでは、自治体の業務で必要となる情報セキュリティ対策強化に関するさまざまなサービスをご提供しています。ぜひ、ご活用をご検討ください。

まとめ