「情報漏えい、当社に関係なし」の嘘（第6回）総務省が自治体情報セキュリティー対策の強化を提言

公開日：2017.03.29

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　マイナンバー制度の本格運用の開始とともに、規模や業種を問わず、あらゆる企業に個人情報保護など、マイナンバーの適正な運用が求められている。企業以上に厳格な情報管理が当たり前と認識されているのが、住民からの税金や社会保障などのデータを扱う自治体だ。総務省では2015年、マイナンバー制度の開始に先立ち、自治体の情報セキュリティー対策の抜本的強化に向けた提言を行っている。万一、自治体で管理する住民のマイナンバーが漏えいするような事態になれば、住民の信頼を失い、制度の存続すら危ぶまれるからだ。

　2015年11月に公表された報告書「新たな自治体情報セキュリティ対策の抜本的強化に向けて」から、自治体が取り組む対策を紹介する。その考え方は自治体のみならず、サイバー攻撃や情報漏えい対策が喫緊の課題となる中堅・中小企業の情報セキュリティー対策にも有効だ。ぜひ参考にしたい。

　まず、ポイントの1つは機密情報を扱う業務システムとインターネット系システム（Web閲覧、インターネットメールなど）の通信経路を別にする｢インターネット分離｣だ。これにより、インターネット経由での攻撃と情報流出を防ぐ。

業務用ネットワークとインターネット接続用ネットワークを分離…

　業務システム用とインターネット用のそれぞれに対応するネットワークと端末を用意すれば、万一、インターネット用端末がウイルス感染などの被害に遭っても業務システムは保護できる。だが、従業員（職員）全員に業務システム用とインターネット接続用として、物理的に2台のパソコンを用意するのは現実的ではない。また、業務システムとインターネット閲覧などの両方のシステムを利用する必要がある従業員（職員）もいることから、担当者ごとに利用する端末を決めることも難しい。

　こうした問題を解決する方法としては、仮想化技術を利用する方法がある。例えば、インターネット接続は仮想化された端末を利用して、業務システム用端末に画面情報のみ転送するという仕組みだ。万一、仮想化された端末が攻撃を受けてウイルス感染しても、仮想デスクトップ環境では端末に直接データを保存しないため、攻撃から社内システムを保護できる。また、従業員は物理端末1台で、インターネットも業務システムも利用でき、スペースの効率化にもなる。

　仮想化端末の方式には、一人ひとりにデスクトップ環境を用意するVDI方式、1つのサーバーを複数人で利用するSBC方式、ブラウザーなどのアプリケーションのみを配信するアプリケーション仮想化といった方法がある。社内での利用用途や費用面から導入を検討するといいだろう。

拠点ごとのインターネット接続口を集約

　また、総務省では「自治体情報セキュリティクラウド」の検討を提言している。これは各市町村のインターネット接続口を都道府県が集約し、セキュリティー対策機器の導入や監視を一括して行うことにより、高度なセキュリティー対策を実施する取り組みだ。従来、各市町村は個々に対策を実施していた。この取り組みでは、より高度な対策を集約して実施することで、全体的にセキュリティーレベルの底上げができる。

　こうした考え方は、企業の情報セキュリティー対策としても有効だ。拠点ごとにインターネットへ接続している場合、拠点の数だけセキュリティー機器などの設置が必要になり、機器と運用管理の負荷がかさむ。そこで、各拠点をVPN（仮想閉域網）などで結び、本社にインターネット接続口を一元化する。これにより、高度なセキュリティー対策が実現し、全社的にセキュリティーレベルを高められる。

　ここ数年で自治体の情報セキュリティーレベルが上がるのは間違いない。攻撃者は対策が弱いところを狙ってくる。対策が不十分だと、より狙われやすくなる可能性がある。ビジネス継続のために、今やセキュリティー対策の強化は経営者の責務といっていい。紹介した自治体の情報セキュリティー対策は、より高度な優れた手法である。これらを参考に、自社の情報漏えい対策の在り方を再点検してみてはどうだろうか。