自治体の情報セキュリティ対策は「エンドポイント」の強化を急げ

株式会社シンクライアント総合研究所 取締役

シニアコンサルタント

奥野 克仁おくの かつひと

株式会社日本HP

サービス・ソリューション事業本部 クライアントソリューション本部 ソリューションビジネス部 プログラムマネージャ

大津山 隆おおつやま たかし

十分な対策がとれない、小規模自治体が多い現実

―近年、自治体の情報セキュリティは強靱化されてきましたが、いまも情報漏えい事件や事故が後を絶ちません。なにが問題なのでしょう。

奥野 　もともと、自治体の情報セキュリティ強靱化は、マイナンバー制度の発足に合わせるように議論が進んできました。当時は、直前に起こった日本年金機構における情報漏えい事件を受け、「外部からの不正侵入をいかに防ぐか」という視点、いわゆる「境界防御」の考え方が議論の軸になっていました。そのため現在の情報セキュリティ対策では、特定個人情報を扱う業務はインターネットから分離され、データを扱う職員にも「なりすまし」を防ぐために二要素認証が徹底されてきました。

　しかしその結果、情報セキュリティ対策は非常に高度かつ複雑で、費用も高額になっている現実があります。予算や人員といったリソースや地理的条件に大きな違いがあるなかで、大規模自治体と同様の十分な対策が必ずしもとれない小規模自治体が多いという現実があります。

　さらに言えば、情報セキュリティ対策と業務の効率性をいかに両立させるかの問題も指摘できます。

厳格な運用ガイドラインが、対策の「抜け穴」を生む

―どういうことでしょう。

奥野　情報セキュリティ対策が進んだ一方で、「インターネット分離」によって「業務効率が低下した」という現場の声は多いです。業務の複雑化や業務量の増大によって負担が増すなかで、職員は現行業務を完遂させなければいけない。そうした状況で、分離されたネットワークを横断したUSBメモリの使用や、自宅パソコン(PC)へのメール転送といった、運用ガイドラインから外れる行動をとってしまうケースがあるのです。しかしそれでは、情報セキュリティ強靱化の実効性は保てません。

大津山　そこは私も同じ認識です。ネットワーク分割の考え方はセキュリティの基本ではありますが、現場が厳格な運用ガイドラインを守り切れず、情報セキュリティ対策に「抜け穴」ができてしまうケースは現実的にはあるでしょう。国の運用ガイドラインをどこまで徹底して対策をとるかで、どうしても自治体間に温度差が生じてしまうのも、そうした事情がありますね。

奥野　最近の情報セキュリティインシデントの報告をつぶさに見てみると、USBメモリの不正使用やPCの紛失、さらには廃棄業者による漏えいといった、人為的なミスや組織内でのガバナンス問題に起因しているケースが目立ちます。その背景にも、国が示す各種ガイドラインの「厳格さ」ゆえに情報セキュリティ対策をおもに実施する情報システム部門が十分対応できていない現実があります。

規模やリソースによらず、いかに安全性を担保するか

―事情の異なる自治体が等しく運用して効果をあげるには、現在の情報セキュリティ対策では難しさがあると。どうすればいいのでしょう。

奥野　現在の対策が運用されて約3年が経ちますが、外部からの攻撃手法も、それに対する防御の技術や発想にも進化がみられます。各自治体や職員を取り巻く業務環境も大きく変わっている。そうした環境変化を鑑み、情報セキュリティ対策のあり方を見直す必要があります。そこでのポイントは、自治体の規模やリソースによらず、いかに情報セキュリティ対策の実効性を担保するかです。近年の不正侵入の手口では、対策が脆弱な小規模自治体のシステムを最初の突破口にし、ネットワークを介して大規模自治体のシステムに侵入するという攻撃が特に警戒されています。

エンドポイント対策が、もっとも現実的な理由

―しかし、それぞれの財政事情や人的リソースも異なり、同じ対策はとれません。

奥野　ですから、従来の「境界防御」とは別のアプローチをとるべきでしょう。まずは、「クラウド・バイ・デフォルト」の原則を情報セキュリティ対策でも徹底することが重要です。なるべく端末には情報資産やシステムを置かず、クラウド上で情報セキュリティ対策を実施することで、情報システム部門の運用負担は大幅に軽減できます。そのうえで、各自治体では端末単位での情報セキュリティに特化する「エンドポイントセキュリティ」の対策を導入することが現実的なソリューションといえます。

大津山　確かに、クラウド化は、リソースが限られた小規模自治体にこそ、導入効果が高いアプローチですね。これとエンドポイントセキュリティの組み合わせは、アプリケーション仮想化などの大規模なシステムが不要となりますから、比較的安価にセキュアな環境をつくれる手法といえます。また、エンドポイントにおいて、ほとんどの脅威は、メールの添付ファイルかブラウザを起点としたものです。ならば、そこだけをエンドポイントで重点的に守ることがもっとも効率が良く、業務効率にも影響を与えません。管理の観点からもインテル®vPro™プラットフォーム対応PCとインテル®EMAツールの利用により、クラウド経由でデバイスを管理することが可能になってきています。

奥野　さらに、昨今の働き方改革によって職員の働き方が多様化し、テレワークの導入を検討している自治体も増えています。守るべき庁内と庁外の境界が特定しにくくなっている現実も、「境界防御」を難しくしていますね。それに対して、PC内部に十分な対策が導入されてさえいれば、個々の職員が厳格な運用ガイドラインを強く意識しなくても、自然と情報セキュリティ対策がとれている状況がつくれる。エンドポイントセキュリティが現実的といえる所以です。

利用者は意識せずとも、最善の対策が実践できる

―エンドポイントセキュリティを実行するために、なにが重要ですか。

奥野　なんといっても、PC自体に十分な情報セキュリティ対策がとれていることです。セキュリティチップの搭載、もしくは仮想化技術といったセキュリティ技術を搭載しているPCが登場しています。特に、HPはそうした情報セキュリティ対策がもっとも優れているメーカーだと評価しています。

大津山　ご指摘の通り、情報セキュリティ対策にはこれまで特に力を入れてきました。当社におけるエンドポイントの情報セキュリティ対策には2つの柱があります。1つは、ハードウェアをベースにした対策です。独自セキュリティチップをHPのビジネスPCに搭載することにより、BIOS(※)をはじめとしたハードウェア自体に「レジリエンス=自己回復」機能を持たせ、自動的に復旧させるというものです。

　もう1つの対策は、『HP Sure Click』というソフトウェアによるもっとも脆弱な部分の保護強化で、添付ファイルの開封やブラウザへのアクセスを、隔離した環境のなかで行える独自の封じ込め技術です。この封じ込め技術にはインテル® VT(バーチャライゼーション・テクノロジー)が活用されており、従来のシンクライアントの仕組みをPCのなかで行うような技術と理解してもらえば良いと思います。なお、こちらのソフトウェアによる対策は、基本機能はHPのビジネスPCに無償バンドルされています。また、より高度な管理機能を持ち、他社製PCにも対応するバージョンは有償で販売しています。

　この2つの対策によって、HPのPCを選択すれば、利用者は意識せずとも、最善の情報セキュリティ対策を実践することができるようになります。

奥野　最近では、中央官庁や一部の自治体で、PCの調達要件にセキュリティチップの搭載や情報セキュリティ対策における一定の基準や仕様を求めるケースが出てきていますが、それは重要な動きです。PC各社では、情報セキュリティ対策の充実に力を入れていますが、HPはその最先端をリードしていますね。ですから、特に情報セキュリティ対策を重視する案件では近年、HPの採用実績も増えているように見えます。

※BIOS:コンピュータプログラムの一種で、起動時のOSの読み込みや、接続された装置・機器に対する基本的な入出力制御などを行うもの

新しい技術成果を、積極的に導入せよ

―情報セキュリティ対策の強化を考える自治体にアドバイスをお願いします。

奥野　現状の課題を受け、国も次なる対策の必要性を認識しているようです。とはいえ、自治体は国の強靱化施策やガイドラインの改訂を待つだけではなく、みずから現実的な情報セキュリティ対策のあり方について考えるべきです。真に情報セキュリティの重要性を認識できるのは「事故発生後」とはいわれますが、過去の情報流出事件を見ても、「これほどの事態は避けられたはず」というケースは少なくありません。情報流出リスクを完全にゼロにすることはできませんが、最悪の事態を想定し、それを避けるための最低限の対策を導入することは、住民の重要な情報を扱う自治体の責務です。

大津山　5年前にネットワーク強靱化が議論された当時からは、技術も進展し、セキュアな仕組みをより安価に導入し、より容易に運用できる環境が整っています。自治体のみなさんには、新しい技術成果を積極的に導入することで、対症療法にとどまることなく、今できる最善の対策を導入していただきたいです。調達仕様書に情報セキュリティ対策を盛り込むことは、その第一歩ではないでしょうか。