全国の自治体トップ・職員・議員に贈る 自治体の"経営力"を上げる情報サイト

「インターネット分離」ありきからの、発想転換が必要に

「インターネット分離」ありきからの、発想転換が必要に

識者の提言

セキュリティの見直し①

「インターネット分離」ありきからの、発想転換が必要に

立命館大学 情報理工学部 セキュリティ・ネットワークコース 教授
京都大学博士(工学)
上原 哲太郎
[提供] アドソル日進株式会社

※下記は自治体通信 Vol.25(2020年8月号)から抜粋し、記事は取材時のものです。


日本年金機構から個人情報が漏えいしたことを契機に、全国の自治体で情報セキュリティ強靱化が進められてきた。しかし近年、そうした情報セキュリティ対策に変化があるという。そこで今回は、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」に参加している立命館大学教授の上原氏を取材。同氏に、自治体における情報セキュリティ対策の状況を聞いた。

立命館大学 情報理工学部 セキュリティ・ネットワークコース 教授/京都大学博士(工学)
上原 哲太郎うえはら てつたろう

セキュリティは守られたが、ほかの問題が明るみに

―自治体における情報セキュリティ対策の状況を教えてください。

 現在、対策の見直しが総務省による検討会で議論されています。これまでの、自治体情報セキュリティ強靱化の考え方は非常にシンプル。庁内ネットワークをマイナンバー利用事務系、LGWAN接続系、インターネット接続系の3つに分け、特にインターネットにつながっているLANをほかの2つから切り離しなさい、と。そして、必要な場合に限ってインターネット利用端末で作業し、そこで作業が行われた制作物は無害化してからLGWANに取り込みましょう、というのが基本的な考え方。

 さらに都道府県単位で、セキュリティオペレーションセンターを設置し、インターネットを出入り口で監視してください、と。結果、ほぼ100%近くインターネット分離が行われ、マルウェア被害といった事故が激減したんですね。

 ただ、一方で別の問題がクローズアップされているのです。

―それはなんですか。

 自治体職員の、業務負担につながっていることです。たとえば業者さんとメールのやりとりをするにもインターネットにつながっていないとできませんから。さらに、「コロナ禍」によってテレワークの導入が推進されていますが、インターネット分離により、パソコンをもち帰って仕事するのも難しい。そうした背景から、これまでの情報セキュリティ対策の見直しが行われているのです。

自治体の新しい、普遍的モデルを構築したい

―どのような見直しが行われるのでしょう。

 簡単に言いますと、「インターネットとの原則分離はやめて、業務システムや端末をインターネット接続系にもっていってもかまいません。ただし、引き続き情報セキュリティはしっかりと守ってください」ということです(上図参照)。ただ、そこでも問題があって。それは、インターネット側にどのような仕事を移すかという判断を行い、なおかつその状況で情報セキュリティを守れる自治体は限られるうえに、相当の覚悟がいるということです。

 そのため、今後自治体に求められるであろうことは、インターネット接続系に仕事を移さない選択、つまり従来モデルを継続するのであれば、いままでよりも仕事がラクになる方法を考えなければいけない、ということです。

―どちらを選択するのかは自治体にゆだねられるのですか。

 そうです。ただ、どの選択をしても、技術的にはさまざまな方法が可能性として考えられます。民間企業各社から、そういったソリューション提案が本格化するのはこれからでしょうね。

 立命館大学では、セキュリティに関するソリューションを提供しているアドソル日進と連携し、「IoTセキュリティ研究センター」を創設しました。IoTの発展により、工場や病院などいままでインターネットにつながっていなかった場所へ急にインターネットがつながるように。そうしたケースのセキュリティ対策を目的としつつ、自治体の情報セキュリティ対策にもかかわっていきます。

 今後における、自治体の普遍的な情報セキュリティモデルの構築を行っていきたいですね。

上原 哲太郎 (うえはら てつたろう) プロフィール
昭和42年、兵庫県生まれ。平成8年、京都大学博士(工学)を取得。京都大学助教授、京都大学学術情報メディアセンター准教授を経て、平成23年、総務省情報通信国際戦略局通信規格課 標準化推進官を担当。平成25年、立命館大学 情報理工学部 情報システム学科 教授に就任。平成29年から現職。
 

民間企業の視点

セキュリティの見直し②

“テレワーク時代”に求められる、情報セキュリティ対策のカタチ

アドソル日進株式会社
理事/IoTソリューション本部 副本部長 兼 セキュリティ・ソリューション事業部 事業部長
片山 健児
[提供] アドソル日進株式会社

※下記は自治体通信 Vol.25(2020年8月号)から抜粋し、記事は取材時のものです。


前ページでは、立命館大学教授の上原氏に、自治体における情報セキュリティの状況を聞いた。このページでは、同大学と連携しているアドソル日進を取材。同社の片山氏に、改めて情報セキュリティをめぐる自治体の課題や、その解決方法を聞いた。

アドソル日進株式会社   片山 健児
理事/IoTソリューション本部 副本部長 兼 セキュリティ・ソリューション事業部 事業部長
片山 健児かたやま けんじ

家にいながらも、LGWANで仕事ができる環境を

―情報セキュリティにおける自治体の課題はなんでしょう。

 セキュリティを追求するあまり、職員の方々に負担がかかっています。たとえば上原教授が指摘されているように、新型コロナウイルスの影響で自治体でもテレワーク導入の必要性が高まっています。しかし、インターネットとの原則分離で、自治体の業務システムは外部ネットワークからのアクセスができないため、テレワークの導入が進んでいないのです。

―ではどうすればいいですか。

 テレワーク導入の方法として、該当する業務システムをインターネット接続系に配置転換することが考えられます。総務省でも「条件を満たせば、一部の業務システムをインターネット接続系に配置転換してもかまわない」との検討もあるようです。ただそうすると、労力や時間、コストがかかります。

 そのため、現行の庁内ネットワーク構成を変更せずに、自宅でも庁内と同様に業務システムを利用できる環境を整備する必要があります。当社の『セキュア・ラップトップ』なら、それが可能です。

―どのようにして、そうした環境整備を可能にするのでしょう。

 独自のVPN(※)接続により、実現します。VPN接続は、多くの民間企業で採用されています。ただ、一般的なVPN接続では、端末起動からVPN接続の確立までの間にウイルス感染したり、外部からの攻撃を受ける危険性があります。

 そこで、当社が提供する『セキュア・ラップトップ』は、起動と同時にVPN接続を実現し、ウイルスの侵入やサイバー攻撃を完全に排除。『セキュア・ラップトップ』には、組み込み型ハイパーバイザー(※)を活用したセキュリティ・ソリューション『LynxSECURE(リンクスセキュア)』が組み込まれており、業務を行う「Windows10領域」とVPN接続する「Linux領域」を兼ね備えています。

 Linux領域がインターネット通信を制御し、VPN接続を確立することで安全なデータ通信を実現しています。これにより、ウイルスの侵入やサイバー攻撃は完全に防御され、テレワークにおいても、庁内でLGWANに接続しているのと同等のセキュリティを確保することができるのです。

※VPN:Virtual Private Networkの略。インターネット上に仮想的なプライベートネットワークを設け、セキュリティ上の安全な経路を使ってデータをやり取りする技術
※ハイパーバイザー:コンピュータを仮想化し、複数の異なるOSを互いに干渉させずに並行して動作させられるようにするソフトウェアのこと

多くの自治体に広めたい

―導入実績はありますか。

 現在、芦屋市(兵庫県)でテレワーク導入の検討が進められており、そこで『セキュア・ラップトップ』を活用した実証実験が開始されることになりました。芦屋市の要望を受け、自治体専用にカスタマイズして提供しています。

 この『自治体専用:セキュア・ラップトップ(芦屋モデル)』は、テレワークでの利用には「VPN接続モード」、庁内での利用には「LAN接続モード」を用意。テレワーク時はVPN接続により、LGWAN内の業務システムを利用でき、庁内ではLAN接続で業務システムにアクセスできます。1台のPCで「テレワーク用」「庁内用」どちらでも使え、テレワーク専用のPCを必要としません。ですから、もう一台PCを購入するといった余分な投資を抑えることができます。また、利用者が限定されるので、運用面でのセキュリティも確保できるのです。

―自治体に対する今後の支援方針を教えてください。

 芦屋市では、この実証実験を通じてテレワーク可能な業務の選定、および対象範囲の拡大を検討されます。当社は、セキュリティに関する運用面をサポートすると同時に、芦屋市とともに課題解決を進めていきたいと考えています。

 新型コロナウイルス感染症の拡大が懸念されるなか、安心・安全に業務が継続できるよう、テレワークの導入を検討される自治体は多いです。当社は『セキュア・ラップトップ』の提供を通じて、多くの自治体職員の方々が安心してテレワークを選択できるよう、企業努力をしていきます。

アドソル日進株式会社
設立 昭和51年3月
資本金 5億2,413万円
売上高 133億円(令和2年3月期)
従業員数 1,164人(グループ全体)
事業内容 企業・公共向け情報システムの開発およびソリューションの提供ならびに商品化と販売
URL https://www.adniss.jp/
お問い合わせ電話番号 03-5796-3260(平日10:00~17:30)
お問い合わせメールアドレス SecuritySol@adniss.jp