全国の自治体トップ・職員・議員に贈る
自治体の"経営力"を上げる情報サイト

[PR]

情報漏えいへの新たな対策

流出しても解読不能暗号化されたファイルで情報を防衛

株式会社ネスコ ITシステム事業部 ITソリューションチーム 板倉 行男

マイナンバー制度が施行され、住民情報の漏えいを懸念した総務省は自治体の情報セキュリティ強靭化に乗り出した。しかしサイバー攻撃の手口は巧妙化し、情報流出の事実に気づかないことすらあるという。数多くの自治体の情報漏えい対策に携わった実績をもつネスコの板倉氏に、自治体の情報セキュリティ対策はどうあるべきかを聞いた。

※下記は自治体通信 Vol.6(2016年6月発刊)から抜粋し、記事は取材時のものです。

情報セキュリティ対策はファイルが持ち出される前提

―総務省の指針、予算処置もあり、自治体の情報セキュリティ意識は高まっています。さらに万全を目指すためにはどうすればいいですか。

 多くの自治体や企業が実施しているセキュリティ対策は、ウィルスやマルウェアの侵入を防ぐソフトや、システム内部のプログラムの挙動を常時監視する「ふるまい検知」、さらには内部からの情報流出の監視体制の導入などです。
 しかし、サイバー攻撃の手口はどんどん高度化し、情報漏えいが表面化しない場合すらあります。情報漏えいを完璧に防ぐことは困難だと言わざるを得ません。くわえて、悪意のある人物によって情報が持ち出されることだって考えられる。メールの誤送信のようなうっかりミスで、情報が流出することもあります。
 こうした状況を鑑みて、これからのセキュリティ対策は、たとえ情報漏えいしたとしても、リスクを最小限にとどめる対策をとるべきだと考えます。

―それはどういうものでしょう。

 「ファイルは外に持ち出される」という前提のうえに立った対策です。たとえば、総務省は自治体の情報管理強化のために、インターネット系のネットワークとマイナンバーによる情報連携に活用されるLGWAN系のネットワークを分離することを奨めています。しかし、ネットワークを分離しても業務自体を分離することはできません。外部や庁内・部内でのやりとりでファイルが行き来し、その過程でウィルス感染、情報漏えいする危険性はゼロではありません。
 実際、標的型攻撃メールのファイルを開封してしまい、職員のPCがウィルス感染したある自治体は住基ネットを強制遮断。復旧までの臨時対応に数千万円を費やしました。また、ファイルのやりとりが発生しなくても、パスワードを盗み出されて教育情報システムの無線LANに侵入され、成績情報が漏えいした事件が今年起こっています。

権限者だけが暗号ファイルを解読

―持ち出されるのが前提ということは、情報漏えいは防げないということですか。

 そうではありません。「持ち出されてもそれが解読できなければいい」という発想で対策を立てればいいのです。
 ひとつの方法として、ファイルをすべて暗号化し、暗号化したまま利用する方法があります。
 たとえば、当社の『DataClasys』は、電子政府推奨暗号アルゴリズムを使い、WordやExcel、PDFなどだけではなく、CADソフトやエンジニアリング系ソフトで作成したファイルも暗号化したまま利用できます。万が一、PCにマルウェアが侵入してファイルが流出したとしても、持ち出されるのは暗号ファイルだけ。そのファイルの閲覧権限をもっていなければ、暗号化されたファイルは解読できないのです。

―どのようにして閲覧権限の有無を決定するのですか。

 このシステムでは、管理者が利用者の職位や所属によって閲覧、更新、コピー&ペースト、印刷、Web送信の権限を設定できます。期間限定で働いている人には、閲覧、更新は可能だが、コピー&ペーストは権限外、というような使い方ができます。さらにファイルにアクセスできる場所や期間の設定も可能ですから、退職や異動が決まっている職員に対して権限を設定することもあります。
 くわえて、ファイルの重要度に応じて「機密」「社外秘」「取り扱い注意」などと機密区分を設け、こちらも利用者を設定できるようになっています。第三者による不正アクセスや流出を防止するためです。

悪意による情報流出を防ぐ相互監視体制

―もし権限を与える管理者が悪意をもっていたら、情報流出は防げないのではありませんか。

 管理者はひとりではなく3人で、相互に監視しあっています。あやしいふるまいなどが察知できた時点で、2人の決裁によって管理者の権限をはく奪できます

―自治体の導入例はありますか。

 現在5自治体で構築、導入が始まっています。また来年度に向けて20以上の市町村で話が進み、さらに独立行政法人や各地の大学、学校法人、教育委員会などからの問い合わせや導入事例が大幅に増加しています。自治体の情報セキュリティ対策は、これまでになく活発化しています。当社の技術でサポートしていきたいですね。

板倉 行男(いたくら ゆきお)プロフィール

昭和48年、名古屋大学法学部卒業後、株式会社神戸製鋼所に入社。株式会社ネプロジャパン(現:株式会社エヌジェイホールディングス)を経て現職。暗号システムの専門家。

株式会社ネスコ

設立 昭和50年11月
資本金 2億7,000万円
売上高 27億円(平成27年9月期)
従業員数 205人(平成28年9月1日現在)
事業内容 ビジネスアプリケーションの一括受託、常駐型システム開発および保守運用サービス、サーバーおよびネットワークなどのインフラの提案、セキュリティ関連全般のコンサルティング業務、運用支援サービス、当社製品(暗号化ソフト、統合会計パッケージ)の販売・導入・保守サービスなど
URL http://www.nesco.co.jp/
DataClasys製品URL
http://www.dataclasys.com/
お問い合わせ電話番号 03-3861-2348(平日9 : 00~18: 00)
お問い合わせメールアドレス dataclasys@notes.nesco.co.jp

※このサイトは取材先の企業から提供されているコンテンツを忠実に掲載しております。ユーザーは提供情報の真実性、合法性、安全性、適切性、有用性について弊社(イシン株式会社)は何ら保証しないことをご了承ください。自己の責任において就職、転職、投資、業務提携、受発注などを行ってください。くれぐれも慎重にご判断ください。

自治体の取り組みを探す

課題から探す
地域から探す

自治体通信

自治体通信

自治体通信は経営感覚をもって課題解決に取り組む自治体とそれをサポートする民間企業を紹介する情報誌です。
自治体関係者の方に無料配布しております。

自治体通信への取材希望の方

自治体通信編集部では、「自治体の"経営力"を上げる」というテーマのもと紙面に登場いただける自治体関係者・自治体支援企業の方を募集しております。

pagetop