Day3【セミナーレポート】自治体の情報政策の今が分かる!3Daysスペシャルセミナー(セキュリティ)
ジチタイワークスが開催してきた情報政策関連のセミナーの中でも、特に気になるテーマとして、多くの自治体職員からセミナー開催のご希望をいただいた
・利便性の向上と業務の安全性の両立
・より高度なセキュリティ対策
・DX人材の育成・組織のあり方
・DXで実現する新しい働き方、真の意味での「働き方改革」
…の4項目について、先進自治体の取り組みや有識者の講演、協賛企業の講演などを織り込みながら、3日間にわたってお届けしている「3Daysスペシャルセミナー」。3日目のセミナーをレポートします。
概要
◼自治体の情報政策の今が分かる!3Daysスペシャルセミナー(Day3/セキュリティ)
◼実施日:6月24日(金)
◼参加対象:自治体職員
◼申込者数:152人
◼プログラム
Program1
セキュリティ10大脅威2022から読み解く自治体のセキュリティリスクとは?
Program2
強靭化のその先へ!ゼロトラストに対応するエンドポイント無害化技術
Program3
スマートシティ推進へ!住民満足度の高いサービス提供に向けた正しいデータの守り方とは?
Program4
北谷町におけるファイル無害化への取り組みと今後の対応
Program5
トークセッション:越前市のセキュリティ対策の取り組みについて
セキュリティ10大脅威2022から読み解く自治体のセキュリティリスクとは?
<講師>
IPA 産業サイバーセキュリティセンター
専門委員 佐々木 弘志 氏
長期化するコロナ禍で、自治体においてもリモートワークの推進と、行政サービスのデジタル化が進み、トレードオフとしてサイバーセキュリティリスクが高まっている。IPA(情報処理推進機構)が毎年公開している「セキュリティ10大脅威」の2022版を読み解きながら、専門委員の佐々木氏が自治体のセキュリティリスクとその対策について説明する。
年々高度化しているサイバー攻撃
つい先日、某自治体が業務委託した事業者が、酔った末に住民の個人情報入りUSBメモリーを紛失するというセキュリティインシデントが発生しました。自治体職員の管理外で起きた事象によって、自治体が被害を受けることがあるということです。
その後の記者会見で、職員がパスワードの桁数や種類などのヒントを言ってしまったのも良くないことでした。本日は、自治体職員の中でも特にシステム系の皆さんに、セキュリティの基本的リテラシーを高めることの重要性をお伝えしたいと思います。
近年、サイバー攻撃に関するニュースを見かけることが急増しています。ひと昔前まで、企業から個人情報や営業情報を盗み、それを転売するのが攻撃の流れでしたが、現在はランサムウェアで情報を暗号化して使えなくし、身代金を要求する攻撃が増えています。サイバー攻撃は年々高度化・巧妙化しています。あらゆるものがネットワークにつながることで攻撃の起点が増加し、制御システムやIoTデバイスまで大きな影響を及ぼしています。
「情報セキュリティ10大脅威」について、下記をご覧ください。2021年に発生した、社会的に影響が大きかったと思われる情報セキュリティ事案から、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーが「10大脅威選考会」審議・投票を行い、決定したものです。
「10大脅威」の中のトップ4について
約150名のメンバーが選んだ10大脅威の中でも、特に重大と思われるトップ4について報告します。
1位は、やはりランサムウェアです。攻撃によってデータが暗号化されても業務継続できるよう、データのバックアップを取る企業が増えたため、最近は攻撃側の手口も”二重の脅迫”と呼ばれるものに進化しています。
データ暗号化による身代金要求に加え、搾取したデータの公開をちらつかせて“口止め料”を要求してくるので、情報を搾取された企業は困難な判断を迫られることになります。ランサムウェアがどこから感染するのか、攻撃の手口と事例は下記をご覧ください。
10大脅威の第2位は、メールやウェブサイトからウイルスに感染させてデータを盗む、標的型攻撃による機密情報の窃取です。最近は標的型攻撃に、「Emotet(エモテット)」というマルウェアが多用されており、Emotetに感染した端末が別のマルウェアをダウンロードして、結果ランサムウェアに感染した事例もあります。詳細は下記図の通りです。
第3位は、サプライチェーンの弱点を悪用した攻撃です。標的とする企業よりもセキュリティが脆弱と思われる取引先や委託先をウイルス攻撃し、そこから標的企業の情報を窃取したり第2の攻撃を加えたりするやり方です。取引先や委託先が狙われると対処が難しいので、まずは契約内容を確認することが大事です。
セキュリティに関する責任を丸投げせず、委託先などに対しては定期的に管理実態の確認をできる契約にすることが大事です。
第4位はVPN機器の脆弱性を悪用してネットワークへ侵入するテレワーク等のニューノーマルな働き方をねらった攻撃で、これは自治体の皆さんも注意していただきたいと思います。ルールと運用の見直し、セキュリティ教育が重要で、テレワークにおいて私物機器を使用する場合は特に注意が必要です。総務省から「テレワークセキュリティガイドライン」が出ていますので、そちらも参考にしてください。
自治体におけるセキュリティ対策は、なぜ難しいのか
「情報セキュリティ10大脅威2022」には、情報セキュリティ対策の基本が書かれています。実は、それほど大変なことではなく、当たり前のことしか書かれていないのですが、その”当たり前のこと”ができてないのが、現在の自治体の状況です。
セキュリティ対策は、結局はリスク対応なので、リスクが理解されなければ予算もつかないし、専任もつきません。自治体におけるセキュリティ対策が難しい4つの理由を、下記のようにまとめてみました。
最後に書いているように、職員の皆さんが“自分事”として捉え、ひとりひとりがセキュリティ対策に取り組んで、セキュアな自治体運営を実現していただきたいと思います。
強靭化のその先へ!ゼロトラストに対応するエンドポイント無害化技術
<講師>
株式会社プロット
常務取締役 坂田 英彦 氏
強靭化に伴うリプレイスがひと段落し、ゼロトラスト時代を見据えたセキュリティの取り組みが始まっている。β・β’モデルへの移行やゼロトラスト環境の構築には、エンドポイントの強化が必要不可欠。プロットの坂田氏が、エンドポイントへ入ってくる全てのファイルを自動的に無害化する次世代の無害化ソリューションを中心に、PPAP対策やセキュリティ教育・訓練など、求められるセキュリティ対策について紹介する。
強靱化のためのリプレイスの、次に行うべきこと
2016年の自治体強靱化通達に則ったシステムリプレイスも、そろそろ目途がついた頃ではないかと思います。そこで本日は、当社がサポートしたβモデル、β’モデルの導入実例や、現在取り組んでいるゼロトラストの概念を取り入れた技術開発などの話題を通じて、強靱化リプレイスが落ち着いた次に必要なことについてお話しします。
まず、βモデルにおける必須のセキュリティ対策(技術的対策)と、それにもとづいてβ、β’モデルを導入した自治体が、実際に変化した部分・変化しなかった部分について紹介します。下記をご覧ください。
αから利用されている部分が緑色で、βで不採用になった部分はピンク、新たに使われるようになった仕組みが黄色の部分です。注目してもらいたいのが”送信メールの無害化”です。当社は、外部から入ってくるメールを無害化する技術と、外部へのメール誤送信を防止する技術を合わせた、メール無害化システムを提供しています。
ゼロトラストに向けた新しい取り組み
当社で行っているゼロトラストへの取り組みについて紹介します。β、β’モデルでは、エンドポイントの強化にフォーカスがあたっています。一方で、ファイル無害化はLGWANの境界を守るために活用されるケースが多いようです。
当社としては、ファイル無害化は境界型にだけ向いている訳ではなく、ファイル無害化の思想≒ゼロトラストの思想と考えています。ゼロトラストの概念においては今後、エンドポイントが重要視されるため、強化する必要があるでしょう。感染することが前提で動くのも大事ですが、アクティブに流入経路で止めていくことも必要なのです。
さらに、ゼロトラストにもとづきファイルの無害化をうまく組み合わせられないか…とのコンセプトで現在開発中なのが、「File Defender 侵入防止アプリ」というエンドポイントセキュリティです。特徴は、外部からエンドポイントに流入してくるファイル自体を自動で検知し、自動で無害化することです。下記を参照ください。
以上の図のように、ファイル無害化をゼロトラストの概念と紐付けながら、エンドポイントを守っていくことがコンセプトです。本年10月1日に正式リリースの予定ですから、ご期待ください。
足元で解決したい課題であるPPAP対策
PPAPソリューションについて紹介します。PPAPはもともと、誤送信や盗聴対策のために始まったムーブメントですが、パスワードZIPで固めたファイルをメールで送っても、その後、解凍用パスワードをメールを送ると、誤送信や盗聴に対して全く意味がないのが問題点です。Emotetやマルウェアがセキュリティから身を守るために使われるというデメリットもあります。
これらの問題点から、PPAPを止めようという流れが非常に強まりました。平井卓也初代デジタル大臣が、「PPAPやめます」と宣言したことから、内閣府などの公的団体でもやめる傾向にあり、グループ全体で廃止する民間企業も増えました。
このPPAPですが、問題なのはパスワードをどうやって渡すかという点で、ファイルをメールで送信した後、パスワードを電話やファックスで送信するのであれば、セキュリティ的にはそこまで悪くはありません。ただし、非常に面倒です。
PPAPを止める場合の代替案として、ダウンロードURLを使うという方法があります。ダウンロードURLを記載したメールを1通目で送り、2通目にダウンロード用認証パスワードを送る流れです。ただしこれは、パスワードZIPをダウンロードURLに変換しただけです。もう1つの代替案として、オンラインストレージなどのシステムで自分専用のアカウントをつくり、ファイルを共有するというやり方もあります。
結局、PPAP対策でダウンロードURLを使っても、利便性と安全性がトレードオフの関係だという構造はPPAPと変わりありません。これを解決するために当社が開発した最新技術が、端末認証付きのパスワードプロトコル「DAPP」です。普通に使っているだけで、外部の第三者をロックアウトできるという、非常に強固な仕組みで、詳細は下記をご覧ください。
「1通目のメールが盗聴されたら、PPAPと一緒で意味がないのでは?」という質問を、よく受けます。確かに2通とも盗まれてしまうと、情報漏洩のリスクは発生しますが、従来のPPAPやダウンロードURLのように、いつも2通目をメールで送るやり方に比べると、はるかに安全性は高いと思っております。その理由は下記図の通りです。
当社は国内で初めて、ファイル無害化技術を確立したパイオニアであり、メールとファイル双方の無害化技術を持つ数少ないベンダーです。ゼロトラスト時代に向けたセキュリティ課題について、プロットへお気軽にご相談ください。
スマートシティ推進へ!住民満足度の高いサービス提供に向けた正しいデータの守り方とは?
<講師>
株式会社マクニカ ネットワークス カンパニー
第3営業統括部 本村 光ルーク 氏
住民サービスの向上と効率化を目指し、住民情報等のデータを連携させたサービスが多くの自治体で検討されている。検討を進める中で、データセキュリティについて課題を感じている自治体も多いのではないだろうか。そこで、データの外部共有を見据えた際に重要となるデータ保護の仕組み作りのポイントについて、本村氏が紹介する。
スマートシティの定義と推進すべき理由
「スマートシティ」とは、ICT技術を活用して都市や地域の抱える諸問題の解決を行い、新たな価値を創出し続ける持続可能な都市や地域ということです。
現在、国内の自治体は様々な問題に直面しており、スマートシティで社会問題解決に取り組む際、重要なのがデータ連携のあり方だと思います。データを連携させ利活用することで、住人1人ひとりに寄り添ったサービス提供や業務効率の向上につなげる。その結果、自治体が抱える社会問題の解決に近づくということになります。
データ連携の仕方については、「データ蓄積方式」「データ分散方式」の2通りがありますので、下記図を参照ください。
データ連携を図る上で留意しなければいけないのは、「アセット」と「都市OS」です。例えばアセットの方では、外部からの侵入を防ぐための監視や脆弱性情報の把握と対策などが記載されています。物理的セキュリティ対策としては、データセンターを強固に守るための対策も重要になってきます。
都市OSの方は、アクセス制御と権限設定が重要になります。脆弱性の把握と対策もアセットと同様に重要で、暗号化もしっかり行う必要があります。都市OSは基本的にクラウドサービス上で利用するので、責任分界点の把握も重要なポイントです。クラウドサービス事業者と、サービス利用者との責任範囲を分ける点のことです。
特にデータ関連は、クラウドサービスを利用する場合でも、データそのものの責任は利用者側にありますので、データ保護対策をしっかりと実施する必要があります。
安全なデータ保護の方法とは
データを守る方法として、データ暗号化、アクセス制御、鍵管理の3つがあります。データを暗号化する際、誰でも復号化できるような状態は望ましくありませんから、暗号化されたデータを復号化できる人とできない人とをユーザー単位で制御することが重要です。
データ暗号化を行う上で最も重要なのが、データに対する暗号鍵の総合的な管理です。暗号データと暗号鍵とが一緒に保管されていると、両方盗まれた場合は簡単にデータを復号化されてしまいます。そのため、データと鍵とを別々に保管し、データ漏洩のリスクを下げる必要があります。また、暗号化しているデータの数によって鍵も増えますので、暗号鍵をまとめて管理する点も重要です。
先ほどの都市OSのデータ連携に関してですが、今後、スマートシティ目指してデータ連携を進める上で、データを外部と共有する機会が増えたりネットワークをつなぐ必要があったり、これまで以上に多くの人がアクセスすることになります。機密情報の漏洩リスクも高まるので、データ保護対策をしっかり実施する必要があります。
外部の侵入を守る対策や、自治体の場合、すでに三層分離などで外部からの侵入を防ぐ対策を実施していると思いますが、守るべきは機密情報が格納されている場所です。
例えば「データ蓄積方式」の場合、データを吸い上げる都市インフラの部分はもちろん、データ連携基盤にデータそのものが格納されていますから、ここをしっかり保護することが重要です。一方、「データ分散方式」は、データ連携基盤にはデータがありませんが、吸い上げてくる個人情報は機密情報になるので、しっかり保護する必要があります。
これから暗号化対策を実施する場合の対策例
本日は2通りの対策例を紹介します。1つ目は、ネットワーク分離やアクセス制限などは実施しているが、暗号化対策は未実施のケースです。住民情報などが格納されているデータベースを想定すると、データベースやファイルサーバ内の重要情報を透過的に暗号化対策してデータを守る方法が考えられます。透過暗号とは、データベース全体を暗号化することです。
住民情報については、データベースごとに暗号化して対策を行うわけです。この場合も、暗号化を行うことで暗号鍵を利用します。そのため、鍵をサーバーに置くと漏洩のリスクが生じますので、鍵管理装置でデータと分けて管理する必要があります。イメージについては下記図を参照してください。
2つ目は、ストレージ内の重要情報をより強度に保護する場合の対策事例です。データを格納しているストレージの暗号化機能、例えばVMware、Nutanix、NetApp、MongoDBなど、ストレージ暗号化自体はストレージ側の機能を利用することが多いと思います。
ただし、暗号化のみを実施する場合、どうやって鍵管理を行うのかが問題になります。下記図を参照ください。
上の図のように、ストレージ暗号化で使っている暗号鍵を鍵管理装置の中で守り、暗号化されたデータと暗号鍵を分けて管理することが可能です。
これから暗号化対策の実施を検討する、あるいは、すでに暗号化対策を実施しているが、鍵管理まではやっていないという自治体の皆さんに、ぜひこれらの方法を検討していただきたいと思います。
北谷町におけるファイル無害化への取り組みと今後の対応
<講師>
沖縄県 北谷町役場
情報政策課 宮原 義幸 氏
平成28年度から全国の自治体において、ネットワークの強靭化対策が一斉に開始されることとなった。LGWAN系とインターネット系でのファイルの授受ではファイルの無害化が必須要件となり、職員の利便性を最優先に製品選定を行う必要があった。総務省が示すα、β、β´モデルを考慮した拡張を検討中の、北谷町の宮原氏がモデル選定について経緯を説明する。
ネットワーク強靭化に伴うファイル無害化への対応
本町では正職員・臨時職員を合わせ、約400人が業務においてPCを使用しています。総務省によるネットワーク強靭化の通達が出されたことで、業務環境の利便性を極力落とさずに、強靱化への対応を進めることが我々の命題として挙げられました。
当初、ネットワーク分離下でセキュアなファイル授受を行える、FileZen+ウイルス対策ソフトで対応することを想定していました。しかし、総務省と沖縄県から「無害化」が必須であることからNGとなりました。その当時、職員間には“無害化・サニタイズ”という考え方がほとんど浸透しておらず、ウイルス対策さえ出来ていれば安全なものと思いこんでいました。
そこで、無害化することを前提に別の取り組みを検討。当初検討していたファイル交換ソフトが、その時点では無害化には対応しておらず
対応予定時期が適用期限に間に合わないことが分かったため、別の製品の検討することになりました。次に検討した製品がVotiroで、こちらについては県からも導入を勧められました。ただ、同製品の場合、当時はユーザー数での課金設定だったため、職員400人が使うと補助金をオーバーすることが明らかでした。
強靭化への対応を補助金で対応しても、5年後のリプレイスの際には各自治体が費用負担せねばならず、非常に悩んでいたときにダイレクトメールが届いたのが、プロットのSmoothFileでした。
すぐに連絡を取り合ったのですが、当時は県内での導入実績が皆無だったため、そこをどう解決するかが問題になりました。ちょうど、近隣の市町村と一緒に勉強会を開催する機会があったので、プロットにも参加してもらい、デモ操作と質疑応答などを実施。これにより、導入例がないことをリカバリーできました。自治体と事業者の双方が、Win-Winの関係になれたと考えています。
ファイル無害化製品導入によるメリット
導入後の主なメリットには、下記のようなものがあります。
●国産ソフトのファイルにも対応している
●ドラッグ&ドロップのUI改良(バージョンアップで、より使いやすくなった)
●調達リスクの回避
やはり、国産品という点が最大の決め手になりました。一太郎やDocuworksなど国産ソフトでつくられたファイルも対応できたほか、現場での使い勝手の良さもメリットになりました。国産品なので、世界的な政情不安に伴う調達リスクの心配がない点も、この製品を導入して良かったと思えるポイントです。
一方で、今後考えていかなければいけないところは、下記の通りです。
●インターネット側でのファイル転送
●色々な企業ファイル交換サービスが増加
●画像をはじめとした、大容量ファイルの授受が増加
●メールの添付ファイルの限界
●ビジネスチャットの優位性が高まりつつある
セキュアなファイル転送の仕かけは必須になります。インターネット側からのファイル転送も同様です。近年、様々な企業がファイル交換サービスを提供していますが、本町はフィルタリングソフトの関係でファイル授受ができないため、民間サービスをなかなか使いづらいという課題があります。
また、画像をはじめCADなどのファイル容量もどんどん大きくなっており、1通で10メガ超の添付があるメールも増えています。また、ビジネスチャットの優位性もかなり高まっていると感じます。セキュアなファイル転送の仕かけが、これまで以上に求められるのではないかと考えています。それらも踏まえ本町は、プロットの「SmoothFileクラウド」の導入を決めました。
今後の予想と対応について
本町は職員数が多くないものの、常にリテラシーを高めることは難しい面もあります。その点から、安全な環境が守られているLGWAN ASPサービスの優位性が今後も高まっていくのではないのかと考えています。セキュリティ対策についても、継続的な情報収集が必要になるでしょう。
今後の対応として、物を”買う”から”利用する”へのシフトが進んでいます。本町としても、買わなければ長期間使い続ける必要がないので、良い面もあるのですが、利用するにあたって、それが本当に大丈夫かどうかの検証が重要になります。ベンダー各社の協力と、市町村の横のつながりも重要です。
先ほど、近隣自治体との勉強会の話題に触れましたが、市町村間の情報連携はもちろん、ウェブ会議が全国の自治体で使える状況になっていますので、地域を越えた“情報連携の仕かけ”をつくることによって、お互いに支援できる関係が築ければと良いと思います。
私としましては横のつながりっていうものに対して、全く抵抗はありません。皆様と情報を共有することによって得られるものはたくさんあるはずですので、今後とも機会がありましたら、色々な知識の共有ができることを期待しております。
トークセッション
越前市のセキュリティ対策の取り組みについて
<講師>
合同会社KUコンサルティング
髙橋 邦夫 氏
福井県越前市 デジタル統括幹兼情報政策課長事務取扱
竹中 忍 氏
庁内の情報ネットワーク整備が完了して間もない時期、庁内の端末が世界的問題となったワーム(ウイルス)に感染するというトラブルに見舞われた越前市。以後、「資産管理とエンドポイント対策という基本は不易」を重視し実践を伴いながらセキュリティ対策に力を入れている。同市の竹中氏と、(同)KUコンサルティングの髙橋氏に、同市の取り組みについて語ってもらった。
越前市における技術的対策と物理的対策
2001年、庁内の端末がNimdaに感染するという大事件が発生しました。Nimdaはネットワーク内で自己増殖し、感染スピードも非常に速い厄介なウイルスです。結果的に、1週間ほどネットワークを止めることになりました。
何らかの対策を打たねばならないものの、セキュリティは安全性と利便性が二律背反の関係にあると言われていたため、安全性を上げながら利便性を落とさないよう注意するとともに、脅威と脆弱性、対策の機能をしっかり把握することにしました。以下の表をご覧ください。
その後、セキュリティ強化を計画的に施しながら利便性を向上してきましたが、三層分離によってネットワークが非常に使いづらく生産性も悪いものになってしまったため、ちょうど昨年が強靱化更新の時期でもあったため、ネットワーク基盤を練り直すことになりました。そのときに重視したのは、「理念は自分たちで持とう、それに見合うものはしっかりと市場調査しよう」という点でした。
変化し続ける背景に対応できる計画が重要
国によるセキュリティポリシーのガイドラインは、日々更新されています。これに対応するのは大変ですが、その所以は、テレワークへのシフトやウェブ会議の増加、クラウド活用など、脅威や脆弱性も変化し続けているので、その変化への対応が求められているということだと言えます。そのための対策の基本は、あくまでも資産管理とエンドポイント対策です。
技術的に高度で分からないことは、しっかり市場調査をするなり民間事業者の話を聞くなりしながら、LGWAN層とインターネット層の利用状況を詳しく調べました。当初、β’モデルを検討していましたが、利便性を上げることが重要という原点に立ち返り、利用状況からαモデルを継続する方針を決めました。ネットワーク強靱化へのシステム更新内容は、下記の通りです。
そして、一番大事なことは”人的対策”です。本市の場合、概要版、研修、内部監査の3つの対策を通じて、啓発と“自分事にする”ことを進めています。「概要版」とは、大量の記述からなるセキュリティポリシーを分かりやすくするため、イラストなどを取り入れた職員向け媒体です。また、研修は2年に1回、全員研修を実施しています。
内部監査で重視しているのは誤謬適示で、ポリシーについて間違った解釈をしてないかを確認することです。監査前にアンケートを実施するほか、監査人、被監査人の両方を育成するために昨年から日本システム監査人協会に支援してもらっています。
トークセッション
人的対策も含めた総合的な“守り”が重要
髙橋:昨年度、私が総務省の地域情報アドバイザーとして越前市さんの支援に携わった際、αにするかβまたはβ’かで悩んでおられましたが、庁内でどのような調査を行ったのか教えてください。
竹中:外部とのデータのやりとりや利用中のASPシステムについて、各課に対して調査しました。結果、予想以上に多かったのですが、意外だったのは、インターネットではなくLGWANで利用しているサービスが多かったことです。詳しく見てみると、頻繁に用いるものはインターネットとLGWANがほぼ同率で、そうすると、目的はβにすることではなかった…という結論に立ち戻りました。
髙橋:一般的には、「αならエンドポイントはそれほど大事にしなくていいのではないか」という声もありますが、越前市さんはαでもエンドポイントを重視した。この点はどのような考えでしたか。
竹中:本市はもともと、「境界型セキュリティ」という考えがありませんでした。だからこそ、管理がしにくい端末の状況がどうであるかを、しっかり把握することが大事だと思っています。セキュリティ上の脅威はどこから来るか予想できませんから、エンドポイントの安全確保に取り組んでいるということです。
髙橋:入れようと思っていたアプリがインストールできないとか、使いたいファイルをうまくダウンロードできないといった制約もあると思いますが、どんな運用を行っているのですか。
竹中:以前から、アプリケーションのインストールやファイルのダウンロードについては、逐一報告するというルールをつくっており、それを職員が守ってくれるよう、研修や内部監査をしっかりやっています。仕組みが変わってもルールは変わらないので、そのあたりは問題無いと思っています。
髙橋:最後に、セミナーに参加している皆さんに、セキュリティについてひと言お願いします。
竹中:情報が溢れている時代ですから、行政も必要な情報を掴むことが大事だと思います。業務上の役割分担で、自分ではここまでしかやれない…という限界を感じたら、アドバイザーの力を得たり民間企業の力を得たりという、柔軟な対応で進めることも重要だと考えています。もしよろしければ、参考にしてください。
髙橋:越前市さんの取り組みは、とても素晴らしいと思います。特に、技術的対策と物理的対策だけではなく、人的対策も含めて総合的に情報を守っておられる点は注目すべきだと感じました。セキュリティ製品が高価だからと諦めるのではなく、自分たちで出来るセキュリティ対策は何かを見つけ、色々な人に意見を聞くことも大切です。