【セミナーレポート】ガイドライン改定から1年、自治体のセキュリティ対策はどう変化したのか？

概要

◼タイトル：ガイドライン改定から1年、自治体のセキュリティ対策はどう変化したのか？
◼実施日：1月26日（水）
◼参加対象：自治体職員
◼申込者数：115人
◼プログラム
Program１
総務省の自治体セキュリティ対策の現状と課題
Program２
脱PPAPには「漏れても安全なパスワード」を
Program３
外部組織とのファイル授受ついての新たな取り組み

---

総務省の自治体セキュリティ対策の現状と課題

＜講師＞

東京電機大学 研究推進社会連携センター 顧問 客員教授
元内閣官房サイバーセキュリティ補佐官
佐々木 良一氏

総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン」を示すことにより自治体のセキュリティ対策を方向付けしてきた。特に平成27年、「三層モデル」導入によりシステム強靭化を図り、令和２年には使い勝手向上のため方策を示している。これらの対策を整理するとともに、パスワード付きzipファイル送信方式であるPPAPの廃止など残された課題についてその対応法を検討する。

「自治体セキュリティガイドライン」2015年改定の概要と背景

2015年、「自治体情報セキュリティ対策検討チーム」が設定され、私が座長を務めました。これまでに６回の会合を行い、次の３つの報告書を作成しました。

（１）各自治体におけるインシデント即応体制の強化
（２）攻撃リスク等の低減のための抜本的強化対策
（３）各自治体の情報セキュリティ確保体制の強化

この中で一番大事なのは（２）で、主に技術的な対策になります。以下の図をご覧になったことのある方は多いでしょうが、地方自治体の情報システムを大きく３分割しようという概要図です。

マイナンバー系とLGWAN接続系はできるだけ分離するということ、インターネット接続系とLGWAN接続系については、論理的な分離を中心に複数の対策を行い、インターネット接続系からLGWAN接続系にメールを送る際はメールを無害化する、あるいは添付ファイルを無害化するため、実際のファイルを送るのではなく添付内容が見える情報だけを送ることによって無害化しようというものです。

三層分離以外にも、例えば「情報提供ネットワークシステム等の集中監視機能」を付け加えたり、マイナンバー系には端末からデータの持ち出しができない設定にしたり、二要素認証導入により住民情報の流出を徹底して防ぐ、などの方法もあります。あるいは、インターネットとの接続口を都道府県ごとに集約化し、高度な監視を行う、いわゆる「自治体情報セキュリティクラウド」の導入方針も出されています。

2020年のガイドライン改定内容とリスクアセスメント

2015年の内容を見直しするために動き出したのが、2020年度のガイドライン改定です。「三層の対策」を行うことで、インシデント数の大幅な減少が実現された一方で、事務効率の低下、ユーザビリティへの影響がありました。また、新しい時代の要請ということで、行政アプリケーションを自前調達からサービス利用型へ、行政手続きを紙から電子へと変化させ、働き方改革の観点から下記の見直しを図ることになりました。

●マイナンバー利用事務系の分離の見直し
●LGWAN接続系とインターネット接続系の分割の見直し
●リモートアクセスのセキュリティ
●LGWAN接続系における庁内無線LANの利用
●情報資産及び機器の廃棄
●クラウドサービスの利用
●研修、人材育成

この中では、２番の「LGWAN接続系とインターネット接続系の分割の見直し」が中心になります。αモデル、βモデル、β'モデルのどれを採用しても良いのですが、本当にβモデルやβ'モデルの安全性が高いのかを確認するにはリスクアセスメントが必要なので、検討を開始しました。リスクアセスメントやリスクマネジメントをどうするかをまとめたものが、下記の図です。

自分たちの組織の対策を決めるには、リスクアセスメントをしっかり行うことが大切です。リスク分析をするには、以下の４通りの方法があります。

（１）ベースラインアプローチ
（２）非形式的アプローチ
（３）詳細リスク分析
（４）組合せアプローチ

一番よく使われ、効率が良いと考えられているのが（３）で、地方自治体の分析においては、準定量的なアプローチ法が採用されています。具体的にはIPAの制御システムのセキュリティリスク分析ガイドラインに記述されているような方法をベースに、従来行われてきた情報資産ベースリスク分析法だけではなく、事業被害ベースリスク分析法の両方を分析することにより、安全性の検証をしています。

PPAP対策に関する考察と自治体が講じるべき対策

「情報セキュリティ対策」に関わる問題として、いわゆる「PPAP対策」について見てみましょう。

PPAPのメリットとして、誤送信対策や盗聴防止効果があること、様々な条件下で特別な手間なしに利用可能であることなどが挙げられます。一方、問題点としては、セキュリティ向上の効果がほとんどないにもかかわらず、手間がかかることを強制的にやらされること、マルウェア（ウイルス）攻撃に悪用される危険性があることなどです。

これらの観点から昨年11月26日、内閣府と内閣官房でPPAPを廃止することが決まりました。では、どの方法が良いのか…という点については、まだ明確になっておりません。対策案の比較をしたものが下記の表です。

サイバー攻撃がますます巧妙になる中で、総合的に見てどういう方法がいいのかについては、

（１）CSをベースにしっかりした認証手順の運用を実施する
（２）メールのニーズは引き続きあるので、S/MIMEの使い勝手の向上を図る
（３）より安全性が高いと言われている方式（プロット社のDAPPなど）を検討する

以上の３点を踏まえ、「情報セキュリティポリシーに関するガイドライン」に基づくチェックリストを作成し、ガイドに沿った対策が十分かを確認することが必要です。一方、コストや使い勝手を考慮し、ガイドにないことや詳細に記述されていないシステム構成にする場合は、地方自治体あるいはその被依頼者が、リスクアセスメントを実施することが望まれます。

脱PPAPには「漏れても安全なパスワード」を

＜講師＞

株式会社プロット
常務取締役　坂田 英彦氏

脱PPAPに関する記事の多くは「WEBダウンロード」を提案しているが、実はパスワード送付において、安全性と利便性を両立しにくいという課題を抱えている。これを解決するために、プロットが提供する新しい技術が「DAPP」だ。 指定の端末以外からは利用できない新しい形のパスワード送付方法で、メールの利便性と安全性を両立させることが可能だという。DAPPの特徴と、適切な脱PPAP運用手法を紹介してもらう。

PPAPが普及した理由と課題を理解する

PPAPは当初、「ファイルを安全に、適切な相手に届ける」という、きちんとしたコンセプトを持って使われ始めました。メールは誤送信のリスクが高い伝達手段です。セキュリティ団体JNSAの発表によると、情報漏えいのおよそ1/4は誤送信から発生しています。また、メールは暗号化されずにやり取りされるため、盗聴のリスクがあります。この２つのリスクを下げたいという思いから生まれたのが、PPAPです。

パスワードZIPでファイルを固めて送り、ZIP内の情報はパスワードを取得した人でないと開けないため、悪意の第三者がそれを拾ったとしても情報漏洩しないということで、一定のセキュリティ効果があるとして広まりました。「OSに依存しない」というパスワードZIPのメリットも、広まった大きな理由です。手作業でも実施できますし、メールの利便性も失われません。

PPAP対策の問題点を整理する

PPAPの問題点としては以下の４つが挙げられており、これらの影響からPPAPを止めようという動きが強まっています。

（１）マルウェアがセキュリティをすり抜けてしまう
（２）誤送信防止の意味が無い
（３）盗聴対策の意味が無い
（４）受信者も送信者も手間がかかる

複数ファイルをパスワードZIPで固めることがダメだということではありません。ファイルをパスワードZIPで固め、そのパスワードも同じ経路で送ることが問題なのです。つまり、パスワードをどう渡すかによって、セキュリティと利便性とが変化するということです。

では、どうやって添付ファイルを送れば安全なのかを模索すると、必ずぶつかるのが「メールの利便性を失わない」という点です。「相手のメールアドレスが分かれば、こちらの都合だけで一方的に送ることができる」という利便性を保ったまま、安全性を上げることは、とても難しいのです。

そのため、メールの暗号化が最初に考えられます。PGPやS/MIME、STARTTLSなど、カチッとした暗号化と、署名のプロトコルが確立されているので、これを活用するのは安全面では間違いありません。しかし、全社員・全ファイルのやり取りを、これらの方法で行うとなると、現時点では運用負荷やコスト面で困難です。そのため、Webからのダウンロード形式が主流になってきました。

Webからのダウンロードを大別すると、以下の３種類があります。

（１）URLダウンロード形式に変換
（２）ファイル転送
（３）オンラインストレージ

この３種類の長・短所を比較したのが、下記の表です。

「漏れても安全なパスワード」の仕組み

PPAPの課題を分析すると、利便性と安全性がトレードオフの関係になっているという構図と、それをWebダウンロード形式に代替しても問題は解決できないことが見えてきます。そこで、パスワードをいかに安全に、メールの利便性を保ったまま送れるかという点を研究して開発した技術が、当社の「漏れても安全なパスワード」です。パスワードに、端末認証を付けることにより実現しました。

「端末認証したパスワードプロトコル（Device-Authenticated Password Protocol）」の頭文字を取り、「DAPP」と名付けました。仕組みは、下記の図を参照してください。

ポイントは、利用者が“鍵”の存在を意識する必要がない点です。通信プロトコル標準規格に準拠した利用者専用の鍵を発行するので、特別な設定やソフトウェアインストールなどは不要です。
「１通目のメールが盗聴されたらPPAPと同じではないか？」と思われるかもしれませんが、当社のDAPPであれば、２通のメールが盗聴されていても「２つの防御」が盗聴のチャンスを制限します。その仕組みについては、下記の図を参照してください。

さらに、絶対に漏れては困る重要ファイルを送る場合、当社は他のパスワード送付方法も準備しています。例えば、やり取りする相手とあらかじめ決めていたパスワードをセットすることで、パスワードを送らないという方法もあります。これならば、パスワードを送信しない分、DAPPよりも安全です。

オンラインストレージ機能も準備しています。何度もやり取りする、一定期間は同じフォルダでファイルのやり取りを行う…などの場合は、相手にもIDとパスワードを発行し、ファイルサーバーとして使っていく方法もあります。

これら３種の方法を、送信先やデータの重要性に合わせて使い分けることが、利便性を損なわずに安全性を高める手法ではないかと考えています。「PPAP対策」を検討中の自治体は、お気軽にご相談ください。

外部組織とのファイル授受ついての新たな取り組み

＜講師＞

笠間市役所 デジタル戦略課
情報政策調整官　長谷川 尚一氏

茨城県及び県内市町村の行政事務効率化、高度化を図るため、「茨城県市町村共同システム整備運営協議会」は先ごろ、県内18市町共同による大容量ファイル交換システムを導入した。取り組みの目的や背景、製品選定のポイント、導入後の効果等を語ってもらう。

メール誤送信などによる情報漏洩が多発

自治体職員、もしくは外郭団体における情報セキュリティ上のインシデントを、新聞報道や各自治体のホームページ、Security Nextなどから拾い上げたところ、令和２年度と３年度４月以降（調査を行った時点まで）とも、129件の情報漏洩が発生したことが明らかになりました。

このうち61件が、メールやホームページからの漏洩です。この数字は、調べることができたものだけですから、実際にはさらに多くのインシデントが発生していると思われます。詳細は、以下の一覧をご覧ください。

ランサムウェア被害も多く、医療情報システムが停止する被害が２件あったほか、委託先での情報流出や、委託先で運用するシステムがランサムウェアによって業務停止した例もあります。

アドレス間違いやファイル誤添付が情報漏洩の主因に

情報漏洩事案のうち、61件がメールの誤送信・ファイルの誤添付が原因でした。誤送信や誤添付など、ヒューマンエラーを防ぐのは難しい側面があるものの、システム的に防ぐことが可能と思います。一方、メール受信側の課題として、高機能なセキュリティクラウドを入れたとしてもパスワード付ZIPファイル付きのメールは確認ができないので、結局、端末でのチェックを行わなければならないことが挙げられます。

メール添付ファイルによるウイルス感染の可能性もあるため、ファイルを添付せず、内容をメール本文に書き込んで対策を講じてはどうか…という記事が、某全国紙に掲載されていました。今後、メール送信時にはそういった意識を持つことも必要かもしれません。

茨城県の場合、セキュリティクラウドはバージョン２に移行するのですが、それでもパスワード付きのメールを市町村の職員が読まないわけにはいきません。いったん止め置きはするものの、どうしても「パスワードを使って開く」という作業は発生します。

共同利用自治体を増やしつつ、無害化システムなどを有効活用

茨城県における、大容量ファイル交換システムの共同化について紹介します。本事業はグループウェアの共同化と合わせて、2014年～2020年６月までを第１期として運用してきました。終了後、20年８月から第２期運用として導入し、スタート時は14市町でしたが21年８月には18市町体制となりました。間もなく19市町となる予定で、その分、コスト的には安価になります。

第1期運用の費用負担は、必要コストを割り勘にして負担削減を図りました。グループウェアと“抱き合わせ”で作り、共通的なネットワーク、コロケーション費用等の削減も図りました。しかし、オンプレミス型のファイル交換システムを入れたため、以下のような課題もありました。

●管理者によるアカウント作成 → 運用費用が発生
●操作記録 → 各市町村における利用状況を市町村の管理者は把握できない
●送付先 → 全てBCCのみのため、同じ所属内でも誰に送付されたかが不明
●利用市町の追加参加設定が面倒（初期費が必要など）
●運用期間がグループウェアの運用期間に左右される。

そのため、グループウェア更新にあたり、クラウドサービスへ移行をすることになりました。続く第２期、当初はオンプレミス型のもので共同構築しようとの意見もありましたが、設置場所、導入・運用費用の問題などから、クラウドサービスを検討。同類の複数製品を比較検討しました。検討の際の仕様概要は下記の通りです。

このうち１〜６番までは、セキュリティ対策上外せない機能です。実際に色々と使ってみた結果、やはりプロットの「Smooth File」が良いという結論になりました。具体的には、下記のようなメリットがありました。

●共同利用ができたことで、１市町当たりの費用削減でき、安価に導入できた
●管理権限を参加団体に付与できるので、管理者側の負担がない→コスト削減に繋がった
●参加団体が増えても、新たな費用や手間が発生しない
●Bcc以外にTo,Ccが使えるので、メールのように運用が可能
●ファイル送信を依頼する場合でも、ファイル送信と同様に送信し、依頼が簡単にできる
●最近、機能追加されたPPAP対策も便利

情報セキュリティクラウドの構築時、大容量ファイル交換システムの共同利用ができていれば、無害化システムを導入してLGWANから直接つなぐ方法もあったのでしょうが、残念ながら今回は実現しませんでした。

５年後を目途にこういった取り組みを実施できれば、様々なやり取りが簡易になり、利用団体もさらに増えるのではないかと予想しています。

参加者とのQ&A 

Q：総務省のガイドラインで約款による外部サービスでは、機密性２以上の情報資産は取り扱えないと書かれていまが、現実的に考えて、ほとんどのクラウドサービスは約款によるものであり、機密性２以上の情報資産を扱えなければ業務にならないと考えています。

A：（佐々木）個人的見解ですが、自治体等においてはクラウドを使うことに慎重で、早い段階では使わない方が良いという方向でした。それが少しずつ変化し、「クラウドファースト」という形になりつつあります。
したがって、どのレベルの情報アップロードまで許されるのかも、長期的には変わっていくのではないかと思っています。

Q：「DAPP」で発行される“鍵”は、ファイルですか。あるいは、ダウンロードリンクの文字列ですか。

A：（坂田）ファイルでも、ダウンロードURLの文字列でもありません。標準プロトコルの中で通信情報をやり取りするものの中の1つを、鍵のような形で扱っています。あえて言うと、ファイルに近い形です。

Q：添付ファイルが複数ある場合、ZIP圧縮でひとつのファイルになりますか。

A：（坂田）「当社ソリューションの場合」と限定して回答いたします。メールに複数ファイルを添付した場合、全ファイルが当社のスムースファイルというファイル転送のシステムに登録され、1つのダウンロードURLが受取人に送信されます。
受取人がURLにアクセスすると、画面上でそれぞれの添付ファイルを任意にダウンロードすることもできますし、まとめて全部選択してダウンロードをすると、自動的にZIPに固められてダウンロードできます。

Q：共同化事業を進めるにあたって調達要件を複数自治体間で取りまとめる際、最も困った点は何でしょうか。その解決策も教えてください。

A：（長谷川）今回、2期目の運用を迎えているわけですが、1期目の導入時から大容量ファイル交換システムの必要性について、メールの送信・受信の課題を理解していただけるよう資料提供を何度も行いました。
つまり、今回急に「共同化」を行ったのではなく、以前から使っている資料で説明を繰り返した感じなので、「最も困った点と解決策」という流れではなく、期間をかけて理解してもらいました。