次期自治体情報セキュリティクラウドとは？詳しい要件や対策を解説【自治体事例の教科書】

<目次>

• 1.次期自治体情報セキュリティクラウドとは
• 2.次期自治体情報セキュリティクラウドが設けられた3つの背景
  • 2-1.一定のセキュリティ水準の確保
  • 2-2.多様な働き方に向けた整備が必要となった
  • 2-3.サイバー攻撃などの脅威に備える必要が出てきた
• 3.次期自治体情報セキュリティクラウドの標準要件一覧
• 4.他にもある！総務省が実施した自治体情報セキュリティ対策の見直し
  • 4-1.3層の対策の見直し
  • 4-2.昨今の重大インシデントを踏まえた対策強化
  • 4-3.各自治体の情報セキュリティ体制・インシデント即応体制の強化
• 5.自治体がセキュリティ対策を見直すときの4つのポイント
  • 5-1.インターネット分離環境の見直し
• 5-2.次期自治体情報セキュリティクラウドの水準をクリアしているサービスを導入する
  • 5-3.サイバー攻撃やシステムダウンに備えた知識を身につける
  • 5-4.知見のあるエンジニア等が在籍するチームを作りトラブルに対応できる組織作りをする
• 6.まとめ

次期自治体情報セキュリティクラウドとは、簡単に言うと都道府県や市区町村ごとに総務省が提示した要件に従い監視やログ分析など高度なセキュリティ対策を実施することです。

もう少し詳しく説明すると、従来の自治体情報セキュリティクラウドは都道府県単位でインターネット接続やセキュリティ対策を集約し独自の要件に従い実施するというものでした。これでは都道府県ごとのセキュリティ対策に差が出てしまうとの指摘があり、総務省が中心となり技術的な標準要件をまとめたものが次期自治体情報セキュリティクラウドです。

次期自治体情報セキュリティクラウドは全29項目から構成されており、インターネット通信の監視やインシデントの予防など内容は多岐に渡ります。そのため、次期自治体情報セキュリティクラウドの内容をしっかりと把握して要件をクリアできるクラウドサービスの導入、運用をすることが欠かせません。

そこでこの記事では、下記の5つのポイントを総務省が公表している「自治体情報セキュリティ対策の見直しについて」などの情報をもとに解説していきます。

1. 次期自治体情報セキュリティクラウドとは
2. 次期自治体情報セキュリティクラウドが設けられた背景
3. 次期自治体情報セキュリティクラウドの標準要件一覧
4. 他にもある！総務省が実施した自治体情報セキュリティ対策の見直し
5. 自治体がセキュリティ対策を見直すときの4つのポイント

最後まで読めば次期自治体情報セキュリティクラウドにはどのような要件があるのか把握でき、適切な対策が取れるようになるはずです。総務省が提示した最新の要件に沿って安全なクラウドサービスの導入や運営をするためにも、ぜひ参考にしてみてください。

1.次期自治体情報セキュリティクラウドとは

次期自治体情報セキュリティクラウドとは、都道府県や市区町村ごとにWebサーバーなどを集約し監視やログ分析など高度なセキュリティ対策を実施することを指します。従来導入されていた自治体情報セキュリティクラウドは、インターネット接続やセキュリティ対策を都道府県単位で集約するというものでした。都道府県ごとに独自のセキュリティ要件を検討し整備をしたことから、都道府県のセキュリティレベルに差があるなどの指摘がありました。

そこで、総務省が中心となり技術的な標準要件をまとめたものが次期自治体情報セキュリティクラウドです。

標準要件をクリアできるようなクラウドサービスの開発、運用をすることで、一定のセキュリティ水準を確保する狙いがあります。

次期自治体情報セキュリティクラウドの詳しい項目は「3.次期自治体情報セキュリティクラウドの要件一覧」で詳しく解説しますが、大きく下記の4つの項目から構成されています。

1. インターネット通信の監視：主にサーバに関する要件
2. インシデントの予防：マルウェアを始めとするコンピューターウイルス対策などトラブルを予防する要件
3. 高度な人材による監視と検知 ：エンジニアなど人的な作業による監視や検索の要件
4. 対応と復旧：データのバックアップや復旧、管理に関する要件

運用形態は従来通り都道府県が主体となって調達や管理を行い、市町村のセキュリティ対策をサポートする形となります。

参考：
総務省「自治体情報セキュリティ対策の見直しについて」、
総務省「次期自治体情報セキュリティクラウドの標準要件の決定について」

2.次期自治体情報セキュリティクラウドが設けられた3つの背景

次期自治体情報セキュリティクラウドが必要となった背景には下記の3つの理由があります。それぞれどのような理由なのか、一つずつ確認してみましょう。

• 2-1.一定のセキュリティ水準の確保
• 2-2.多様な働き方に向けた整備が必要となった
• 2-3.サイバー攻撃などの脅威に備える必要が出てきた

2-1.一定のセキュリティ水準の確保

従来の自治体情報セキュリティクラウドは各都道府県がセキュリティ要件や対策を検討、実施する形で進められました。導入を開始した2017年以降はコンピューターウイルスであるマルウェアへの感染が大幅に減少しており、一定の成果をあげています。一方で、セキュリティの対策基準や要件を都道府県に委ねてしまったため、セキュリティに差があることやサーバの監視をしている業者のレベルに差があることが浮き彫りになりました。

そこで次期自治体情報セキュリティクラウドではセキュリティ水準を明確にして、どの都道府県でも一定のセキュリティ基準を満たしたクラウドサービスの導入を目指しています。

2-2.多様な働き方に向けた整備が必要となった

自治体では働き方改革の観点から、テレワークなどリモートアクセスの需要が高まっています。さまざまな環境からサーバにアクセスすると、ウイルス感染や情報漏えいのリスクが高まります。そこで、次期自治体情報セキュリティクラウドでは下記のような施策を標準要件に取り入れて、働き方改革を進めていくうえで起こりうるトラブルにも備えています。

• ゲートウェイ対策：マルウェア対策やURLフィルタの設置など
• Webサーバセキュリティ対策：リモートデスクトップの管理など
• ヘルプデスクの設置：窓口を一元化して効率化するなど

2-3.サイバー攻撃などの脅威に備える必要が出てきた

総務省が自治体情報セキュリティ対策の強化に乗り出したのは、2015年に発生した日本年金機構の情報流出がきっかけでした。外部からのメール経由で不正アクセスが起こり個人情報の一部が流出、新たな基礎年金番号を用意し対応する大きな事件となりました。

これを受けて自治体情報セキュリティクラウドなどの取り組みを実施したため、現在はマルウェアなどのコンピューターウイルスによる被害は減少しています。

一方で、2019年に自治体向けクラウドサービス 「Jip-Base」で障害が発生し、長時間業務に支障が出事態に発展。今後は、災害や障害などの予期せぬトラブルへの備えが必要なことが明確になりました。

次期自治体情報セキュリティクラウドでは「引き続きマルウェアなどコンピューターウイルスへの脅威に備える」「予期せぬトラブルや災害に備える」という視点からエンジニアなどセキュリティ専門人材による人的な監視要件を設けて、安定した運営ができるように配慮しています。

参考：厚生労働省「日本年金機構における不正アクセスによる情報流出事案について」

3.次期自治体情報セキュリティクラウドの標準要件一覧

総務省が公表している次期自治体情報セキュリティクラウドの要件は、29項目から構成されています。

• インターネット通信の監視：主にサーバに関する要件
• インシデントの予防：マルウェアを始めとするコンピューターウイルス対策などトラブルを予防する要件
• 高度な人材による監視と検知 ：エンジニアなど人的な作業による監視や検索の要件
• 対応と復旧：データのバックアップや復旧、管理に関する要件

という4つの大きな項目に分けてられており、具体的にどのようなことが必要なのか記載されています。必須となっている機能は都道府県が設置するクラウドサービスに取り入れる必要があるため、あらかじめ把握しておくことが大切です。

どのような要件を満たしてクラウドサービスを導入、運営しなければならないのかぜひ参考にしてみてください。

参考：総務省「次期自治体情報セキュリティクラウド機能要件一覧」

（2021年6月時点での情報となります）

4.他にもある！総務省が実施した自治体情報セキュリティ対策の見直し

次期自治体情報セキュリティクラウドの決定と同時期に見直された自治体情報セキュリティ対策として

・3層の対策の見直し
・昨今の重大インシデントを踏まえた対策強化
・各自治体の情報セキュリティ体制・インシデント即応体制の強化

という3つがあります。総合的に自治体のセキュリティ対策を見直すためにも、どのようなことをすべきかチェックしてみてください。

4-1.3層の対策の見直し

3層の対策とは、2015年から自治体が取り組んできたセキュリティ対策の一つです。

下記の図のように個人番号利用事務系とLGWAN接続、インターネット接続系の3層に分けて徹底的にセキュリティ対策をすることで、情報流出の防止やコンピューターウイルスへの感染を防ぐ仕組みを作っています。

出典：総務省「自治体情報セキュリティ対策の見直しのポイント」

自治体の主要業務とインターネット接続をそれぞれ独立させることで、高いセキュリティの確保を目指してきました。今回は利便性や業務効率化の観点から、下記の2点が見直しされることになりました。

【①マイナンバー利用事務系の分離に係る見直し】

個人情報の流出を徹底的に防ぐという観点から引き続き他領域との分離は維持すべきですが、充分にセキュリティが確保されていると国が認めた通信に限って電子申請やオンラインでの行政手続きができるようになりました。

例えば、地方税の手続きができる「eLTAX」やマイナンバーカードを使って手続きができる「マイナポータル」が当てはまります。

【②LGWAN接続系とインターネット接続系の分割に係る見直し】

テレワークなど多様な働き方に対応するために三層の対策の基本的な枠組みは維持したまま、インターネット接続系に業務端末・システムを配置した「新たなモデル」を提示しています。

βモデルとしては下記のように、LGWAN接続をしていた業務端末をインターネット接続系に配置。インターネット接続系に配置していた設備の一部をLGWAN接続に配置転換しています。

出典：総務省「自治体情報セキュリティ対策の見直しのポイント」

このような新しいモデルの採用には情報資産単位でのアクセス制御や監視体制、緊急対応の整備など人的なセキュリティ対策の実施が必須条件となります。

4-2.昨今の重大インシデントを踏まえた対策強化

総務省は昨今の重大なインシデントとして2つの事例を挙げて、同様な事態が発生したときの対策強化を提示しています。

【事例①：ハードディスクの盗難による情報流出】

神奈川県では2019年12月にリース満了に伴い返却をしたハードディスクが盗難され、情報が流出する事例が発生しました。

これを受けて情報システム機器を廃棄、リース返却する場合は

・データや機器を物理的な方法・磁気的な方法で破壊する
・職員立ち会いによる確実な廃棄の確認
・完了報告書の作成

を徹底するように要請しています。また、地方公共団体が情報セキュリティポリシーに関するガイドラインの改定を改訂する時期に合わせて、情報システム機器を廃棄、リース返却する場合の手続き方法を記載することも求めています。

【事例②：長期間のシステム障害が発生】

2019年12月に日本電子計算株式会社が提供する地方公共団体向けクラウドサービス「JipBase」で障害が発生しました。全国53団体453システムに影響を与え、一部においては各種証明書の発行など長期間に渡って障害が発生しました。

これを受けて

・必要なサービスレベルを保障する契約締結の実施
・随時バックアップを保管していく
・クラウドサービスを提供する事業者と共通認識を持つ

という助言を提示しています。

このように、昨今の重大なインシデントを参考にして、同じようなことが起こらないように対策をしていくことも重要だと捉えています。

4-3.各自治体の情報セキュリティ体制・インシデント即応体制の強化

自治体のセキュリティを強化していく上で、セキュリティリテラシーの向上や日頃からの備えは欠かせません。そこで、総務省では次の4つを強化するように求めています。

【①実践的サイバー防御演習（CYDER）の確実な受講】

総務省では国立研究開発法人情報通信研究機構（NICT）を通じて自治体などをを対象とした実践的サイバー防御演習（CYDER）を実施しています。

まだまだ未受講の自治体が多いため、セキュリティ・リテラシー向上に向けて計画的な受講を推進しています。

【②インシデント対応チーム（CSIRT）の設置及び役割の明確化の推進】

CSIRTとはインシデントが発生した場合の窓口となり、適切なサポートを提供するチームのことです。総務省の調査ではCSIRTを設置している自治体は65％ほどにとどまっているそうです。

システム障害や災害、コンピューターウイルスへの感染など予期せぬ事態が発生した場合に、誰がどのように対応をするのか明確にしておかないと迅速な対応が取れません。そこで、CSIRTの設置や役割分担の明確化を進めていくことを提示しています。

【③演習等を通じたサイバー攻撃情報やインシデント等への対策情報の共有の推進】

サイバー攻撃やインシデントに備えた予行練習や講習を実施し、万が一トラブルが発生したときに慌てず対応できるような備えが重要です。

内閣サイバーセキュリティセンタ ーでも「分野横断的演習」などを実施しており、今後は参加する自治体を増やしていける取り組みを検討しているようです。

【④啓発や訓練を通じた各自治体の職員のセキュリティ・リテラシーの向上】

いくら万全なクラウドサービスを導入しても、職員のセキュリティ・リテラシーが低いと情報漏えいやコンピューターウイルス感染のリスクが高まります。

・eラーニングなどリモートラーニングによる情報セキュリティ研修
・情報セキュリティ対策セミナー
・情報セキュリティに関する技術講習会

を継続して実施し、社員が一丸となって情報セキュリティの知識や技術を身につけることが求められています。

5.自治体がセキュリティ対策を見直すときの4つのポイント

最後に、次期自治体情報セキュリティクラウドや自治体情報セキュリティ対策を把握した上で、自治体がセキュリティ対策を見直すときにチェックしたい

・インターネット分離環境の見直し
・.次期自治体情報セキュリティクラウドの水準をクリアしているサービスを導入する
・サイバー攻撃やシステムダウンに備えた知識を身につける
・知見のあるエンジニア等が在籍するチームを作りトラブルに対応できる組織作りをする

という4つのポイントをご紹介します。どのような点を見直したらいいのか、ぜひ参考にしてみてください。

5-1.インターネット分離環境の見直し

外部からコンピューターウイルスなどが侵入しないようセキュリティを強化するには、インターネットの分離環境を見直すことが大切です。

三層の対策で述べられているように

①マイナンバーカードや個人情報を扱う個人番号利用事務
②自治体のデータ保管やシステム構築をしているLGWAN接続
③インターネット接続系

を三層に分けて分離する必要があります。今回の見直しでは新たなモデルが登場しLGWAN接続系とインターネット接続系の分割の自由度が向上したため、どのような分離が業務効率化や最適な働き方に繋がるのか検討する必要があるでしょう。

分離には下記の2つの方法があるため、リスクやコスト、管理のしやすさを考慮しながら選んでみてください。

また、分離環境を整えるときにはセキュリティにも配慮する必要があります。次期自治体情報セキュリティクラウドでは、下記の4つのサーバを監視することを必須としています。

新たなモデルを採用するには一定水準のセキュリティ対策が必須となっているため、インターネットの分離環境とセキュリティを紐付けながら検討してみてください。

5-2.次期自治体情報セキュリティクラウドの水準をクリアしているサービスを導入する

「1.次期自治体情報セキュリティクラウドとは」でも解説したとおり次期自治体情報セキュリティクラウドが自治体クラウドサービスの新たな水準となるため、この水準をクリアしているクラウドサービスを選ぶことが大切です。

次期自治体情報セキュリティクラウドでは

①インターネット通信の監視：主にサーバに関する要件
②インシデントの予防：マルウェアを始めとするコンピューターウイルス対策などトラブルを予防する要件
③高度な人材による監視と検知 ：エンジニアなど人的な作業による監視や検索の要件
④対応と復旧：データのバックアップや復旧、管理に関する要件

という4項目を大きな柱としているので、すべてを網羅する基盤を構築できるクラウドサービスを導入するようにしましょう。

とくに、インターネット通信の監視やインシデントの予防、データのバックアップなどの復旧は一定の水準をクリアしなければならないため、しっかりとチェックしたいポイントです。

また、管理や人的な対応はどこまでを任せるのか明確化しないと、いざという時に迅速な対応ができません。次期自治体情報セキュリティクラウドの要件をクリアするためにも、対応範囲や責任の所在を把握しながらクラウドサービスを検討してみてください。

5-3.サイバー攻撃やシステムダウンに備えた知識を身につける

「4-3.各自治体の情報セキュリティ体制・インシデント即応体制の強化」でも解説しましたが、高水準のクラウドサービスを導入してもセキュリティ・リテラシーが低いとさまざまなリスクが高まります。

パソコンの使用方法や情報管理方法、コンピューターウイルスの脅威などを定期的に講習する場を設けて、職員のセキュリティ・リテラシーを向上させましょう。

また、
・災害時や障害などでシステムが使用できなくなった場合の対応
・サイバー攻撃やコンピューターウイルス感染が疑われるときの対応

など万が一の事態に備えた知識を身につけておくことも大切です。災害などでシステムダウンが発生したときに、無許可のネットワークに接続するなどの対処をしてしまうと二次被害が起こる可能性があります。

リスクを抑えて安全にインターネット通信などを利用するためにも、全職員が同じレベルのセキュリティ・リテラシーを持ち合わせることができる対策を取り入れていきましょう。

5-4.知見のあるエンジニア等が在籍するチームを作りトラブルに対応できる組織作りをする

コンピューターウイルス感染や大規模なシステム障害などのトラブルは、専門的な知識や技術がなければ対応できません。大きなトラブルが発生したときに職員だけで状況判断をし、適切な処置をすることは難しいでしょう。

そこでインシデント対応の窓口となるチーム（CSIRT）を結成し、トラブルに対応できる組織作りを目指すことが大切です。人的な監視や運用は、次期自治体情報セキュリティクラウドの項目としても用意されています。

知識や技術のあるエンジニアやベンダーが在籍するチームを結成し、職員とともに安定したクラウドサービス運用ができる基盤を作る必要があります。

6.まとめ

いかがでしたか？次期自治体情報セキュリティクラウドとはどのような内容か把握でき、自治体でのクラウドサービス運営に活かすことができるようになったかと思います。

最後にこの記事の内容をまとめてみると

◎次期自治体情報セキュリティクラウドとは、都道府県や市区町村ごとにWebサーバーなどを集約し監視やログ分析など高度なセキュリティ対策を実施すること
◎次期自治体情報セキュリティクラウドが必要となった背景は次の3つ

1)従来の自治体情報セキュリティクラウドは各都道府県がセキュリティ要件や対策を検討、実施する形式だったので一定のセキュリティ水準の確保が必要となった
2)働き方改革を進めるにあたり、テレワークなど多様な働き方に向けた整備が必要となった
3)サイバー攻撃や大規模障害などの脅威に備える必要が出てきた

◎次期自治体情報セキュリティクラウドの要件は29項目から構成されており、大枠となるのは次の4項目
1)インターネット通信の監視：主にサーバに関する要件
2)インシデントの予防：マルウェアを始めとするコンピューターウイルス対策などトラブルを予防する要件
3)高度な人材による監視と検知 ：エンジニアなど人的な作業による監視や検索の要件
4)対応と復旧：データのバックアップや復旧、管理に関する要件

◎次期自治体情報セキュリティクラウドと同時期に見直しされた自治体情報セキュリティ対策は次の3つ
1)3層の対策の見直し：マイナンバー利用事務系の分離に係る見直しとGWAN接続系とインターネット接続系の分割に係る見直しを提示
2)昨今の重大インシデントを踏まえた対策強化：情報システム機器を廃棄、リース返却するときの方法や情報のバックアップの必要性を提言
3)各自治体の情報セキュリティ体制・インシデント即応体制の強化：セキュリティ・リテラシーを向上させるための取り組みを提言

◎自治体がセキュリティ対策を見直すときにチェックしたいポイントは次の4つ
1)三層の対策を意識したインターネット分離環境の見直しをする
2)次期自治体情報セキュリティクラウドの水準をクリアしているサービスを導入する
3)セキュリティ・リテラシー向上のためにサイバー攻撃やシステムダウンに備えた知識を身につける
4)知見のあるエンジニア等が在籍するチームを作りトラブルに対応できる組織作りをする

この記事をもとに、次期自治体情報セキュリティクラウドの要件を取り入れたクラウドサービスの導入、管理ができるようになることを願っています。