全国の自治体トップ・職員・議員に贈る
自治体の"経営力"を上げる情報サイト

[PR]

システムのぜい弱性診断で予期せぬサイバー脅威に立ち向かう

日本テクノ・ラボ株式会社 開発部マネージャー 原田 陽

マイナンバー制度の導入により、各自治体は情報セキュリティの強化に努めている。しかし、情報セキュリティサービスを手がける日本テクノ・ラボの原田氏は「たとえ、外部ネットワークを遮断した環境でも安全ではない」と話す。同氏に、情報セキュリティの最新情報を含めて対策法を聞いた。

※下記は自治体通信 Vol.8(2017年4月発刊)から抜粋し、記事は取材時のものです。

複雑化・深刻化していくセキュリティ脅威

―自治体を取り巻く、情報セキュリティにおける最新の状況を教えてください。

 情報セキュリティの問題は自治体だけに限らず年々複雑化し、被害も深刻になっています。

 たとえば、最近メディアに取り上げられているのが「標的型攻撃」「ランサムウェア」。これらはたくみにシステム内部に入り込み、情報漏えいの被害はもちろん、パソコン情報を人質にとった詐欺行為に使われます。また、「サービス停止攻撃(DoS攻撃)」は、大量の通信を浴びせて重要な基幹システムを機能停止に陥らせます。

 こうした新しい脅威が、次々と現れているのです。

―しかし各自治体は、マイナンバー制度の導入にともない、LGWAN(総合行政ネットワーク)接続系とインターネット接続系のネットワークをわけるなど、すでに対策を講じています。

 ネットワーク分離により「外部と接してないから安全」とはいい切れません。人がなかで働いている以上、外部から電子媒体が持ち込まれてマルウェアが入り込むケースや、内部の人間による不正行為などが考えられますから。

 隔離されたネットワークでは、そういった対策が後手になってしまいます。たとえば外部と接していないため、新たに見つかるぜい弱性に対するセキュリティパッチなどの自動更新ができません。情報システムベンダー各社が修正パッチを公開しても、実施しなければ意味がありません。とくに自治体では人事異動により経験を積んだIT担当部門の職員が数年で入れ替わってしまうため、ぜい弱性が放置されることも。

 ほとんどの組織で、パソコンにアンチウイルスソフトを導入していますが、新しい脅威に対しては意味をなさない場合もあります。

 大切な情報資産を守るためには、外部ネットワークからの侵入対策、あるいは外部への情報漏えい対策だけでは不十分といえます。

―どうすれば適切な対策が打てますか。

 まずは、いまあるシステム環境にどのような脅威やリスクが考えられるかを分析することから始めるのが、適切なアプローチだといえるでしょう。

 ひとくくりに情報セキュリティ対策といっても、脅威の性質はさまざま。それゆえ、対策方法も多岐にわたります。ただ、サイバー攻撃などの脅威は、日常的に使っているOSやデータベースなどのミドルウェア、あるいはそのほかの基盤技術に対するぜい弱性をついてきます。そのため、対策を打つ前に内部システムを可視化し、どういったリスクが存在しているのかを知ることが大事なのです。

 その方法のひとつとして、当社ではぜい弱性の診断をおススメしており、実際に診断するサービスを開始しました。

複数の診断ツールで総合的な判断を行う

―サービスの詳細を教えてください。

 基本的に2種類のアプローチで、システム環境におけるぜい弱性診断を行います。ひとつは「オンサイト検査」。当社の専門エンジニアが検査機器を持ち込み、内部システムのぜい弱性診断を実施。診断後は報告会として、具体的にどういった箇所にぜい弱性があるかの説明とアドバイスを行います。

 そして、もうひとつが「リモート検査」。これは公開サーバの際に提供するサービスで、インターネット経由でネットワーク機器や公開サーバに対して、ぜい弱性診断を実施します。

 ぜい弱性診断を行う方法はさまざまですが、複数の診断ツールにより総合的なチェックを行います。そうした対応ができるのは、当社がUNIX全盛の時代からWindowsにいたるまで本物の技術をあつかうための努力を行ってきたからだと自負しています。

―今後はどのような支援方針を考えていますか。

 独自の診断ツールによってえた診断結果をもとに、アンチウイルスソフトの更改、Webアプリケーションファイアウォール、IPS、サンドボックス(※)、アンチDDoS(※)装置の導入など、実際に有効なサイバーセキュリティソリューションをシステム構築とマネジメントの両面で支援します。

 すべての管理者がセキュリティのスペシャリストではないでしょうから、ぜひ当社のサービスを活用することで、情報資産を確実に守り、セキュリティレベルの維持に役立ててほしいですね。

※サンドボックス : 外部から受け取ったファイルを保護された領域で動作させ、悪意のある振る舞いを検知する装置のこと
※DDoS : DoS攻撃と呼ばれる攻撃手法を分散攻撃の手法へと発展させたもの

原田 陽(はらだ あきら)プロフィール

昭和45年、東京都生まれ。平成7年に早稲田大学を卒業後、都内のI TベンダーにてS E業務に従事。平成12年に日本テクノ・ラボ株式会社に入社、開発業務を担当する。現在はISMSの推進責任者として、情報セキュリティや管理コーディネートを担 当している。

日本テクノ・ラボ株式会社

設立 平成元年1月
資本金 4億120万円
従業員数 37人
事業内容 コンピュータシステム開発
URL https://www.ntl.co.jp/
お問い合わせ電話番号 03-5276-2810(平日10:00〜17:00)

※このサイトは取材先の企業から提供されているコンテンツを忠実に掲載しております。ユーザーは提供情報の真実性、合法性、安全性、適切性、有用性について弊社(イシン株式会社)は何ら保証しないことをご了承ください。自己の責任において就職、転職、投資、業務提携、受発注などを行ってください。くれぐれも慎重にご判断ください。

自治体の取り組みを探す

課題から探す
地域から探す

自治体通信

自治体通信

自治体通信は経営感覚をもって課題解決に取り組む自治体とそれをサポートする民間企業を紹介する情報誌です。
自治体関係者の方に無料配布しております。

自治体通信への取材希望の方

自治体通信編集部では、「自治体の"経営力"を上げる」というテーマのもと紙面に登場いただける自治体関係者・自治体支援企業の方を募集しております。

pagetop