サイバーセキュリティ事業について（多要素認証）・実施事例【自治体事例の教科書】

地方自治体によるICT化が進む一方で、サイバー攻撃などへの脅威にいかに対処するかが重要課題となっています。セキュリティ対策のひとつである多要素認証をはじめ、サイバーセキュリティ事業に取り組んでいる地方自治体の実施事例をご紹介します。

【目次】
■茨城県ひたちなか市の取り組み
■岐阜県垂井町の取り組み
■北海道砂川市の取り組み

茨城県ひたちなか市の取り組み

茨城県ひたちなか市では、従来よりホームページの改ざんやウイルス対応などを実施してきましたが、新たな脅威となっている標的型攻撃によるインターネットを介した個人情報の流出などのリスクに対し、新たなサイバー攻撃対策に取り組んでいます。そのひとつが機器におけるセキュリティ対策です。

個人番号利用事務など重要度の高いシステムへログインする場合に、従来から実施しているID・パスワードだけでなく、職員証などのICカードや静脈等の生体認証を利用した二要素認証の導入を検討しています。

岐阜県垂井町の取り組み

岐阜県垂井町では、情報システム全体の強靭性の向上を図るため、情報システム全体に対して次の三段階の対策を講じました。

第一にマイナンバー利用事務においては、原則として他の領域との通信をできないようにしました。また、端末への多要素認証の導入と、端末からの情報持ち出し不可設定を行うことで、住民情報の流出を防ぎます。

第二にLGWANと接続する業務用システムとインターネット接続系の情報システムとの通信経路を分割し、両システム間で通信する必要がある場合には無害化通信を実施しています。

第三としてインターネット接続においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を講じています。

北海道砂川市の取り組み

北海道砂川市では、行政運営における機密情報や個人情報などの市が有する情報資産をサイバー攻撃の脅威から守るため、セキュリティ対策について総合的、体系的かつ具体的に取りまとめた情報セキュリティポリシーを策定しました。

砂川市が保有する情報資産を大きく3つのカテゴリに分けるとともに、その中でも重要度が高い情報をレベル分けし、それぞれに対応したセキュリティ対策を講じています。機密性による情報資産は秘密文書に相当する機密性を要する行政事務に係る情報資産です。そのため、次のような対策を講じています。

第一に、職員の私物パソコンでの作業を禁止するとともに、保管場所の制限を設け、保管場所への必要以上の外部記録媒体等の持ち込みを禁止しました。また、信頼のできるネットワーク回線の選択を行うとともに、必要以上のデータの複製や配付も認められません。情報の送信や運搬・提供時においては、暗号化を徹底するとともに、パスワード設定や鍵付きケースへ格納して運ばなくてはなりません。データを処分する際は復元不可能な処理を施しての廃棄の徹底を図りました。

第二に、完全性による情報資産は、行政事務で取り扱う情報のうち、改ざんや誤謬または破損によって住民の権利が侵害されたり、行政事務の的確な遂行に支障を及ぼしたりするおそれがある情報です。完全性による情報資産については、バックアップの徹底と電子署名の付与による保護を図るとともに、外部で情報処理を行う際の安全管理措置の規定を設け、外部記録媒体は施錠可能な場所へ保管するものとしました。

第三に、可用性による情報資産は、行政事務で取り扱う情報のうち、滅失、紛失または利用不可能となることで住民の権利が侵害されたり、行政事務の安定的な遂行に支障を及ぼしたりするおそれがある情報です。可用性による情報資産についてはバックアップの徹底をはじめ、指定する時間以内の復旧を図れる体制を整えること、外部記録媒体の施錠可能な場所への保管を行います。

情報システム全体の強靭性の向上として、重要な情報となるマイナンバー利用事務においては、原則として他の領域との通信をできないようにし、端末からの情報持ち出し不可設定をはじめ、端末への多要素認証を導入することで、住民情報の流出を防ぎます。情報の送信への対策として、電子メール等により機密性レベルの情報を送信する場合は、必要に応じて暗号化またはパスワード設定をしなくてはなりません。

情報のアクセス対策として情報システムが正規の利用者かどうかを判断する手段を講じる際は、2つ以上を併用する多要素認証を設定することを徹底させました。その上で、業務ごとに専用端末を設置できるよう努めることとしました。情報の持ち出し対策として、原則として、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定しなければなりません。

管理区域の入退室管理など、物理的なセキュリティ対策も欠かせません。管理区域への入退室を許可する者を制限するとともに、ICカード、指紋認証などの生体認証と、入退室管理簿の記載による入退室管理を実施することとしました。職員をはじめ、外部委託事業者が管理区域に入室する場合には身分証明書等を必ず携帯し、求めに応じて提示しなければなりません。

情報セキュリティ管理者は職員が利用するパソコン等の端末について、盗難防止のための措置を講じる必要があります。情報システムへのログインに際しては多要素認証を徹底し、パスワード、スマートカード、生体認証などの複数の認証情報パスワードの入力を求めるように設定しなくてはなりません。また、あらかじめ設定したパスワードを入力しないと起動ができないBIOSパスワードや、ハードディスクパスワード等も併用することが求められます。

中でも住民の重要な情報であるマイナンバー利用事務においては、知識・所持・存在を利用する認証手段のうち、2つ以上を併用する多要素認証等が必須です。情報セキュリティ管理者は、端末にセキュリティチップが搭載されているなど、パソコンやモバイル端末などに備わるデータの暗号化などの機能を有効に利用しなければなりません。

モバイル端末を庁外で利用する際には、遠隔消去機能を利用する措置も講じておく必要があります。職員における認証手段の管理についても徹底が図られました。認証に用いるICカードやID、パスワードなどは、当然ながら職員間で共有してはなりません。業務上必要のない時は他者に使用されないよう、ICカード等をカードリーダーもしくはパソコン等の端末のスロットから抜いておかなければなりません。

ICカード等を紛失した場合には、速やかに情報セキュリティ管理責任者および情報セキュリティ管理者に通報し、指示に従うことが求められます。ICカード等の紛失といった通報があった場合には、速やかにICカード等を使用したアクセス等を停止することが必要です。

パスワードの取り扱いについては、以下の事項について遵守するよう求められています。

・パスワードは秘密厳守を徹底し、パスワードの照会等には一切応じてはなりません。
・パスワードは十分な長さで、想像しにくい文字列にすることが必要です。
・パスワードを記載したメモを作成することは認められません。
・パスワードが流出したおそれがある場合、情報管理者に速やかに報告するとともに、速やかにパスワードを変更します。
・複数の情報システムを扱う職員は、同一のパスワードを別のシステムにおいて使用してはならず、それぞれ別のパスワードを設定するものとします。
・初期パスワードなどの仮パスワードは、最初のログイン時点で必ず変更しなければなりません。
・サーバやネットワーク機器、パソコン等の端末のパスワードの記憶機能を利用することも禁止しています。