マイナンバー制度の導入により、各自治体は情報セキュリティの強化に努めている。しかし、情報セキュリティサービスを手がける日本テクノ・ラボの原田氏は「たとえ、外部ネットワークを遮断した環境でも安全ではない」と話す。同氏に、情報セキュリティの最新情報を含めて対策法を聞いた。

※下記は自治体通信 Vol.8（2017年4月発刊）から抜粋し、記事は取材時のものです。

複雑化・深刻化していくセキュリティ脅威

―自治体を取り巻く、情報セキュリティにおける最新の状況を教えてください。

　情報セキュリティの問題は自治体だけに限らず年々複雑化し、被害も深刻になっています。

　たとえば、最近メディアに取り上げられているのが「標的型攻撃」「ランサムウェア」。これらはたくみにシステム内部に入り込み、情報漏えいの被害はもちろん、パソコン情報を人質にとった詐欺行為に使われます。また、「サービス停止攻撃(DoS攻撃)」は、大量の通信を浴びせて重要な基幹システムを機能停止に陥らせます。

　こうした新しい脅威が、次々と現れているのです。

―しかし各自治体は、マイナンバー制度の導入にともない、LGWAN（総合行政ネットワーク）接続系とインターネット接続系のネットワークをわけるなど、すでに対策を講じています。

　ネットワーク分離により「外部と接してないから安全」とはいい切れません。人がなかで働いている以上、外部から電子媒体が持ち込まれてマルウェアが入り込むケースや、内部の人間による不正行為などが考えられますから。

　隔離されたネットワークでは、そういった対策が後手になってしまいます。たとえば外部と接していないため、新たに見つかるぜい弱性に対するセキュリティパッチなどの自動更新ができません。情報システムベンダー各社が修正パッチを公開しても、実施しなければ意味がありません。とくに自治体では人事異動により経験を積んだIT担当部門の職員が数年で入れ替わってしまうため、ぜい弱性が放置されることも。

　ほとんどの組織で、パソコンにアンチウイルスソフトを導入していますが、新しい脅威に対しては意味をなさない場合もあります。

　大切な情報資産を守るためには、外部ネットワークからの侵入対策、あるいは外部への情報漏えい対策だけでは不十分といえます。

―どうすれば適切な対策が打てますか。

　まずは、いまあるシステム環境にどのような脅威やリスクが考えられるかを分析することから始めるのが、適切なアプローチだといえるでしょう。

　ひとくくりに情報セキュリティ対策といっても、脅威の性質はさまざま。それゆえ、対策方法も多岐にわたります。ただ、サイバー攻撃などの脅威は、日常的に使っているOSやデータベースなどのミドルウェア、あるいはそのほかの基盤技術に対するぜい弱性をついてきます。そのため、対策を打つ前に内部システムを可視化し、どういったリスクが存在しているのかを知ることが大事なのです。

　その方法のひとつとして、当社ではぜい弱性の診断をおススメしており、実際に診断するサービスを開始しました。

複数の診断ツールで総合的な判断を行う

―サービスの詳細を教えてください。

　基本的に2種類のアプローチで、システム環境におけるぜい弱性診断を行います。ひとつは「オンサイト検査」。当社の専門エンジニアが検査機器を持ち込み、内部システムのぜい弱性診断を実施。診断後は報告会として、具体的にどういった箇所にぜい弱性があるかの説明とアドバイスを行います。

　そして、もうひとつが「リモート検査」。これは公開サーバの際に提供するサービスで、インターネット経由でネットワーク機器や公開サーバに対して、ぜい弱性診断を実施します。

　ぜい弱性診断を行う方法はさまざまですが、複数の診断ツールにより総合的なチェックを行います。そうした対応ができるのは、当社がUNIX全盛の時代からWindowsにいたるまで本物の技術をあつかうための努力を行ってきたからだと自負しています。

―今後はどのような支援方針を考えていますか。

　独自の診断ツールによってえた診断結果をもとに、アンチウイルスソフトの更改、Webアプリケーションファイアウォール、IPS、サンドボックス(※)、アンチDDoS(※)装置の導入など、実際に有効なサイバーセキュリティソリューションをシステム構築とマネジメントの両面で支援します。

　すべての管理者がセキュリティのスペシャリストではないでしょうから、ぜひ当社のサービスを活用することで、情報資産を確実に守り、セキュリティレベルの維持に役立ててほしいですね。

※サンドボックス ： 外部から受け取ったファイルを保護された領域で動作させ、悪意のある振る舞いを検知する装置のこと
※DDoS ： DoS攻撃と呼ばれる攻撃手法を分散攻撃の手法へと発展させたもの