全国の自治体トップ・職員・議員に贈る
自治体の"経営力"を上げる情報サイト
自治体通信Online

民間企業の取り組み

情報システムの強靭化

巧妙化するサイバー攻撃を防ぐには、定期的な脆弱性診断は必須

バルテス・モバイルテクノロジー株式会社 開発部 担当部長 堀田 嘉和
[提供] バルテス・モバイルテクノロジー株式会社

※下記は自治体通信 Vol.20(2019年10月号)から抜粋し、記事は取材時のものです。


過去の深刻な情報漏えい問題を教訓に、セキュリティの強靭化が図られた自治体の情報システム。統合行政ネットワーク(LGWAN)によるネットワーク分離は、その代表的施策だ。しかし、「それだけでは不十分」と警鐘を鳴らすのが、情報システムやソフトウェアの脆弱性診断で多くの実績をもつバルテス・モバイルテクノロジーの堀田氏。同氏に、自治体がとるべき情報セキュリティ対策を聞いた。

バルテス・モバイルテクノロジー株式会社
開発部 担当部長
堀田 嘉和ほりた よしかず

情報セキュリティ対策で「絶対に大丈夫」はありえない

―機密性の高い情報のやり取りが進む行政の現場では、いまどのような課題がありますか。

 標的型サイバー攻撃やランサムウェア(※)に代表されるように、サイバー攻撃は日々巧妙化しており、情報セキュリティ対策は、依然として多くの自治体の課題となり続けています。ウイルスが送られてくるメールには、「△△様、関連資料をお送りします」などと、個人を特定した内容や、あたかも関係者からの連絡と見せかけた攻撃とは思えないメールが増えています。自治体の端末には、ウイルス対策ソフトが搭載されていますが、発生したばかりの新しいウイルスには効果を発揮できないことが多く、脅威と対策はつねにイタチごっこで、100%の安全とはなりません。

※ランサムウェア:コンピュータウイルスの一種で、感染したパソコンをロックしたり、利用者のシステムへのアクセスを制限するもの

―しかし自治体では、情報システムの強靭化を目的に「ネットワーク分離」が徹底されています。

 たしかに、LGWAN接続系とインターネット接続系が分離され、直接的にグローバルネットワークからの脅威は受けません。ですが、「分離しているから、絶対に大丈夫」とは言い切れないのです。なぜなら、内部の人間の行為が感染の発端となるケースがあるからです。

―詳しく教えてください。

 たとえば、パソコンにUSBメモリやHDMIケーブルなどの機器を接続できる状態で、そこにウイルスの侵入を防ぐ仕組みがなければ、外部ネットワークを経由せずとも、接続機器を介してウイルスが侵入する可能性があります。また、庁内ネットワークの各システムに悪意のある人がアクセスすることも考えられます。そのため、問題なのは、システムの隙をついて部外者の侵入を許すセキュリティホール(※)が存在することです。それがある限り、情報漏えいやアカウントの乗っ取り、サイトの改ざんといった危険性があります。

※セキュリティホール:情報セキュリティ上の欠陥のこと。脆弱性とほぼ同義である

―どのような対策が必要ですか。

 まずは、システムの脆弱性診断を行い、危険性を把握すべきです。さらに、定期的に実施することをおススメします。というのも、自治体の情報システムのなかには、開発当時は脆弱性が検出されなかったものの、機能追加や改修にともない、予期せぬセキュリティホールが新たに生じるシステムもあると考えられるからです。

 当社では、情報処理安全支援士の国家資格をもった診断員らが、ふたつの診断手法を組み合わせ、自治体における情報セキュリティの強靭化のサポートをしています。

侵入者視点にたって、さまざまな侵入手法を試す

―ふたつの診断手法とは、なんでしょう。

 ひとつは、診断を自動化できるツールを用いた「機械診断」です。ツールを用いるため診断の速度が早く、一定のルールにもとづき、多くの診断を短い時間で行えます。もうひとつは、より侵入者の視点にたってさまざまな侵入手法を試しながら、診断員が細かく分析する「手動診断」です。システム全体を広く診断する前者と、ピンポイントで深く診断する後者を組み合わせて、誤検出のない高い診断精度を実現します。

 ふたつの診断ともネットワークを介して疑似攻撃を仕かけるため、既知のあらゆる手法を使った診断ができるのです。


―今後における自治体支援の方針を聞かせてください。

 民間企業の例ではありますが、当社の診断を受けた結果、じつに74%が「情報漏えいなどの被害を受ける危険性が高い」という結果が出ています。さらに、当社の診断を初めて試した場合、必ずといっていいほどなんらかの脆弱性が検出されます。情報セキュリティの強靭化を担保して、安全に情報のやり取りを行いたい自治体のみなさんは、ぜひお問い合わせください。


バルテス・モバイルテクノロジー株式会社
設立平成24年10月
資本金5,000万円
事業内容スマートフォン・タブレット端末などのモバイルデバイス向けアプリケーション開発、Webシステム開発、Webセキュリティサービス
URLhttps://www.valtes-mt.co.jp
お問い合わせメールアドレスvmt-inquiry@valtes-mt.co.jp
お問い合わせ電話番号 東京本社 ☏03-5210-2087
大阪本社 ☏06-6534-6568
(平日9:00~18:00)
堀田 嘉和 (ほりた よしかず) プロフィール
昭和42年、大阪府生まれ。NTTデータグループのソフトウェア開発会社でシステム開発やテスト業務などに20年以上携わる。平成30年にバルテス・モバイルテクノロジー株式会社に入社。現在、システム開発とセキュリティ診断に従事している。
この記事で支援企業が提供している
WEBセキュリティソリューションの資料をダウンロードする
自治体通信メール版

「自治体通信オンライン」の最新記事や、イベント情報などをいち早くお届けします。

※このサイトは取材先の企業から提供されているコンテンツを忠実に掲載しております。ユーザーは提供情報の真実性、合法性、安全性、適切性、有用性について弊社(イシン株式会社)は何ら保証しないことをご了承ください。自己の責任において就職、転職、投資、業務提携、受発注などを行ってください。くれぐれも慎重にご判断ください。

【特別号】~いま注目のRPAを読み解く~
資料一覧ページ
コンシェルジュ
調達インフォ
[PR]

自治体の取り組みを探す

課題から探す
地域から探す

自治体通信

自治体通信

自治体通信は経営感覚をもって課題解決に取り組む自治体とそれをサポートする民間企業を紹介する情報誌です。
自治体関係者の方に無料配布しております。

自治体通信への取材希望の方

自治体通信編集部では、「自治体の"経営力"を上げる」というテーマのもと紙面に登場いただける自治体関係者・自治体支援企業の方を募集しております。

地域別ケーススタディ
課題別ケーススタディ
【特別号】~いま注目のRPAを読み解く~
資料一覧ページ
コンシェルジュ
調達インフォ
[PR]
pagetop