概要

□タイトル：行政ITに必要なデータストレージにおけるセキュリティ対策を解説！ ～データの確実な消去法とランサムウェア対策～
□実施日：2022年8月30日（火）
□参加対象：自治体職員
□開催形式：オンライン(Zoom)
□申込者数：96人
□プログラム：
　第１部：ランサムウェア対策に防災訓練の実施を
　第２部：ストレージに求められるランサムウェア対策術
　第３部：αモデルに潜むランサムウェアのリスク
　第４部：参加者とのＱ＆Ａ

ランサムウェア対策に防災訓練の実施を

データセキュリティでは“内部からの流出”と“外部からの侵入”の両方に備えなくてはならない。第１部ではそうした問題への啓発活動に取り組んできた企業の担当者が、自治体がもつべき心構えについて語る。

＜講師＞

神原 豊彦氏
ネットアップ合同会社　CTOオフィス
チーフ テクノロジー エヴァンジェリスト

機器の処分時に安心をもたらすサニタイズ処理とデータ消去証明。

ネットアップは、約30年前に米国で創業し、データストレージを中心に技術開発や製品提供を行っている会社です。データセキュリティにも長く関わっており、お客様のデータセキュリティをより高く保つための啓発活動に力を注いでいます。当社は、自治体向けにも様々なソリューションを提供しています。ここでは、その中から以下の２つについて紹介します。

１：情報漏えい防止対策
２：ランサムウェアなどウイルス対策の徹底

まず「情報漏えい防止対策」。記録メディアからの情報漏えい防止に関して、大切なことの１つが、不要となった機材の中に残っているデータを確実に抹消する「ディスクサニタイズ処理」です。

例えばPCでファイルをゴミ箱に捨てても、ディスクにデータは残っています。これに対し、全て上書きして全部消しきるのがディスクサニタイズ処理です。政府機関など高度なセキュリティが求められるところでは標準的に採用されています。私たちはこうした処理のサービスも提供していますが、自治体などが懸念されるのは、きちんとその処理が遂行されたことをどう証明したらいいのか、という点です。これに対し、我々は国内の「データ適正消去実行証明協議会（ADEC）」という業界団体と提携し、総務省のガイダンスにもとづき、データの消去証明書を発行するサービスも提供しています。

令和３年には、長野県塩尻市と有効性に関する実証実験を行っており、Webでも情報を公開しています。他にも、データ暗号化に関するホワイトペーパーも出しているので、興味のある方はぜひWebをご覧ください。

ランサムウェア被害はなぜ増える？ハッカー視点で見た“３つの理由”。

最近、ランサムウェアが猛威をふるっています。なぜこんなに流行しているのか、我々の調査結果としては大きく３つあります。

１つ目は、犯罪者が「儲かる仕組み」になっていて、犯罪ビジネスとして成立しているという構造。ランサムウェアは非常にシンプルなので、OSの標準機能で作れます。そのため、いかに侵入し、コントロールするのかという部分が肝になるのですが、それを開発するキットがダークウェブで販売されており、月額100ドル程度で簡単に作成でき、保守サポートまで付いているといった状況です。

こうして安価にランサムウェアを作り、身代金が得られたとします。身代金被害の平均金額が、北米・欧州で約85万ドル。国内でも同程度なので、月１万円ほどのコストでうまくいけば１億円という、割のいい犯罪になってしまっているということです。ただし成功率は低いので、その確率をどう上げているかというのが次の項目です。

２つ目は「秘匿性が高く組織的」という点。一昔前に、犯罪のエキスパートがチームを組んで大きな犯罪を行う映画がありましたが、ダークウェブの世界では同じようなことが起きています。IT犯罪者がチームを組み、ランサムウェアを作る・組織に入り込む・全体をコントロールする・身代金を受け取りマネーロンダリングする、といった分担作業をしているのです。

また、感染から発症までは潜伏期間があり、仕掛けた人間が逃げるのも容易です。こうした要素から、数をこなすことができるようになります。

３つ目は「人は誰でもミスを犯す」。例えばEmotetやフィッシングメールのような形で、一瞬の隙を突いて入り込んできます。間違ってクリックしてしまった方を責めることはできませんが、それでも被害は生じます。

サイバーレジリエンスの視点で高レベルのセキュリティを！

こうした背景があるランサムウェアへの対抗策として、当社が提唱しているのは「サイバーレジリエンス」。レジリエンスとは、回復性・回復力という意味で、従来のようなウイルスソフトでの対策ではなく、中に入ってきてしまってからいかに回復していくかという考え方です。

このサイバーレジリエンスでは、万が一感染してしまった時に、いかに早く、かつ職員の負担を抑えて検知と復旧作業ができるかという点が大切です。ランサムウェアの実例には、被害が大きくなって報道されるに至った企業がある反面、数時間で復旧が終わったところもあります。両者の違いは、検知と復旧の作業を、IT担当者だけでなく一定割合の方々が認識し、対応に関する事前知識を持っていたかどうか点が大きい。

こうした攻撃に対する作業に慣れておくために、防災訓練のようなものを行っていくことが重要です。興味のある方はぜひお声かけください。

ストレージに求められるランサムウェア対策術

サイバー攻撃を受けた際、職員に求められるのは迅速な検知と、的確な復旧作業だ。いざという時にそうした対応ができるよう、舞鶴市でランサムウェア防災訓練が実施された。その内容をネットアップの担当者が報告する。

＜講師＞

原田 将史氏
ネットアップ合同会社
中部・西日本営業本部 第一営業部 クライアントエグゼクティブ

 
ランサムウェアから資産を守る！舞鶴市で実施した“防災訓練”とは。

私からは、舞鶴市で実施したランサムウェア防災訓練の背景と概要、および自治体のシステムの課題についてお伝えします。

舞鶴市における防災訓練ワークショップは、令和４年７月に舞鶴市役所会議室で実施しました。京都府をはじめ、京都府北部の自治体11団体が参加、実施目的は以下の３点です。

(1)市役所職員におけるセキュリティ意識向上の契機
(2) IT担当者における技術知見の向上
(3)近隣の自治体・関係団体を含めたセキュリティ勉強会のような形式

上記が当日実施した防災訓練の概要です。まず座学では、ランサムウェア対策として、検知・保護・復旧をどのように行うのか、といったレクチャーをしました。次にハンズオンでランサムウェア感染の疑似体験と、感染データの復旧を実施。これらを体験した後にグループでディスカッションしました。

サイバー攻撃の疑似体験により“いざ”という時に備える。

座学で重要なのは、準備から感染発生後の要因分析までインシデント対応の流れを決めておくという点です。実際に、感染から発覚まで２カ月以上かかるケースもあり、感染後にストレージレベルで早期検知、ドメイン隔離、検知時点で取得したスナップショットでの早期復旧を目的としています。これら一貫したプロセスを、ネットアップのサービスを組み合わせて対応することが可能で、実際に人が対応することが難しい範囲を当社サービスがカバーする効果が期待されます。

また、ハンズオンの内容ですが、ユーザー自身のセルフリストアと、検知タイミングで取得したスナップショットから管理者がリストアする２パターンを実施しました。準備したのは5,000のテキストファイルで、感染用のスクリプトを流し、疑似感染させています。その後、データスナップショットより数秒で復旧作業を実施しました。

このハンズオンで感染から復旧までのイメージを持っていただいた後に、庁舎内システムの現状チェックと、今後の対策についてチーム内でディスカッション・発表を行いました。防災訓練の実施後に、舞鶴市より以下のような感想をいただいています。

クラウドシフトに向けて今から充実した備えを。

最後に、自治体からの相談が増えている事項について、３つピックアップしてお伝えします。

１つ目はガバメントクラウド対応で、クラウド環境へのリフト＆シフトです。現在、先行事業が全国８団体で実施されていますが、各自治体においては、基幹システム20業務の改定計画の策定を開始されていると思います。

２つ目はデータ機密レベルの管理です。2020年にセキュリティ対策ガイドラインの改定がありましたが、これに沿ってデータ削除を適切に行うことが求められています。その点についても様々な提案をしています。

３つ目は本日のテーマであるサイバー攻撃です。まさにこの３つの課題をミックスして検討していくことが必要だと考えています。

ネットアップでは、これらの対応として、サイロ化の防止やクラウド移行、コスト最適化を改善する提案や、ランサムウェア感染を想定したストレージ検知と復旧プロセスの確立に向けて自治体を支援します。特にデジタル庁が進めるクラウドシフトでは、AWS環境下でのランサムウェア対策が、そのままガバメントクラウドで利用可能になるので、今後の検討に役立つと思います。ぜひご相談ください。

αモデルに潜むランサムウェアのリスク

第３部は京都府で情報政策を担う職員が情報を共有。国内外におけるサイバー被害の現状や、三層分離の弱点を指摘しつつ、αモデルの“安全神話”に警鐘を鳴らす。

＜講師＞

原田 智氏
公益財団法人京都産業21 DX推進監兼CISO
（元 京都府CIO兼CISO 情報政策統括監）

増加するランサムウェア被害の実態と国内自治体の状況。

私は、京都府のCIO兼CISOを令和３年３月まで担っておりました。また、総務省の自治体DX検討会の構成員や、セキュリティクラウドの１期の時、自治体情報セキュリティ対策チームの構成員も務めていました。そうした経験も踏まえ、現在求められているランサムウェアのリスク・対策についてお話ししたいと思います。

まずランサムウェアについて、改めて確認します。上のグラフは警察庁のデータです。被害は右肩上がりに増えていて、令和３年度は146件。実数はもっと多いと言われています。また、IPAが公表するデータでは、標的型攻撃が長く１位を占めていたのですが、令和３年からランサムウェアが１位になっています。

最近の攻撃は単に暗号化して脅迫するのではなく、データをダークウェブに上げて、身代金を払わなければ公開する、と二重に脅迫するタイプが大半を占めています。ただし、暗号化をせずに内部情報だけを窃取し、「公開するぞ」と脅して身代金を請求するという攻撃も増えているのが実情です。

世界的に見ても、昨年米国の東海岸でパイプラインの会社が攻撃され、燃料供給が１週間停止することがありました。では自治体はどうでしょうか。米国では2019年にボルチモア市役所がランサムウェアに感染し、業務が１カ月停止しています。実はこの前にも同市の警察施設が１回感染しており、アトランタ市やコロラド市も攻撃に遭っています。調べてみると、FBIの2021年被害統計では、学校関係に次いで地方政府機関が２番目に多い。あまりにも被害が多いため、ニュースにもならなくなったと推測されます。

こうしたことから、公共は十分に攻撃対象だと考えられるのです。

日本での被害ですが、ご存知の通り、つるぎ町立半田病院が攻撃を受けました。また南房総市の教育委員会でも被害が発生しています。この南房総市の事案は学校関係なので、自治体とは少し違うという感覚もあろうかと思うのですが、実は文部科学省がセキュリティ関係の基準を定める時は、総務省とかなり情報交換をして、それに準ずる形で定めているのです。さらに、GIGAスクールの事業に合わせて教育委員会のネットワークを整備されたところが多いので、整備から時間が経っていない時点で攻撃を受けた可能性が高い。自宅から教育委員会のサーバにログインできる仕様になっていた可能性もあります。自治体では、本丸である首長部局の方に被害が近づいていると考える必要があると思います。

「三層分離だから安全」はＮＧ！複合型対策と防災訓練で試算を守る。

ここからは、αモデルに潜むリスクについてお伝えします。

注目してほしいのは、LGWANとマイナンバー系の間は“分離”ですが、インターネット系とLGWANの間は“分割”となっている点です。「無害化通信は通してもいい」とされており、この間は実務上かなり通信が発生しています。

次に機器の面ですが、異常監視やメール通報、遠隔操作のための管理の関係で、通信の“裏口”のようなものがあります。正面玄関に相当するところはセキュリティクラウドが守っているのですが、こうした裏口はセキュリティが不十分で、ここを突かれるというケースもあります。実は以前からこの部分で問題は発生しており、特にデータセンターが運用するのが当たり前になってからセキュリティ対策が見えにくくなっていることもあり、非常に注意が必要です。

もちろん、三層分離だけで自治体のセキュリティが守れるわけではありませんし、境界型だけでも守れない。“ゼロトラスト”が最近叫ばれていますが、こうした対策も必要になってきています。端末がインターネットの世界に出たり、三層分離の世界にあったりと、色々と場所が変わるので、それぞれの対策を組み合わせることが必要です。

ランサムウェアで行政が被害を受けると、住民サービスに大きな支障が生じるため、早期復旧を意識した対策に取り組むことが重要です。特にバックアップは、オフラインの手段も含めて複数の実施が求められます。また、リカバリーについては、データの完全復旧は意外と難しい、というのが現実です。

ネットアップの防災訓練のような場で一度体験されることをおすすめします。本人認証の強化や機器の脆弱性に対応し、職員の訓練・教育もしっかりやる。こうした地道な取り組みを続け、十分に対策されることをおすすめします。

参加者とのＱ＆Ａ

ここからは質疑応答のパート。参加者から寄せられた様々な疑問に、登壇者から回答していただいた。

■ネットアップに向けての質問

Ｑ：ワークショップに、職員は何名程度必要ですか？ 舞鶴市では何名が参加されたのですか？

Ａ：参加人数について、特に制限はありません。今後の対策の検討材料にしていただくためにも、行政だけでなく教育委員会などを含め、複数名の参加をおすすめします。舞鶴市でも、デジタル推進課主導で実施し複数名の参加で実施しました。
 

Ｑ：ワークショップの内容はカスタマイズできますか？

Ａ：対応可能です。舞鶴市でも２ヵ月間いろいろ話をして、それに沿った形で内容も対応しています。
 

Ｑ：ワークショップを実施する場合、自治体ではどんな準備が必要ですか？

Ａ：一般的な開催で準備いただくのは、 実施場所となる会議室などの会場、ハンズオンで使用するPC端末(ブラウザ／リモートデスクトップが稼働)、参加者の方々への案内・受付対応、の３つです。その他詳細については個別に相談させていただいています。
 

Ｑ：遠方でも実施可能でしょうか？ また費用は無償でしょうか？

Ａ：各ロケーションに営業がいるので、遠方でも、自治体の規模も問わず対応可能です。①スタッフによる訪問、②東京・大阪の当社オフィスでの実施、③Zoomなどでのリモート実施、いずれにも対応できますが、これまでの実施経験からは、ハンズオンでの質疑応答や、ディスカッションなどを有意義なものにするためにも、①②のいずれかがおすすめです。費用はかからず無償です。
 

Ｑ：クラウドインサイトを試してみたいのですが、どうすればいいですか？

Ａ：評価版が出ています。[https://cloud.netapp.com/]こちらからお試しいただけます。
 

■京都府 原田氏に向けての質問

Ｑ：自治体はそれぞれ財政規模が違いますが、同レベルでのセキュリティ対策を導入する必要性についてどのようにお考えですか？

Ａ：すべての自治体が足並みをそろえ、高いレベルの対策をとれればそれに越したことはありません。しかし、経費やリソースの問題もあり、「導入はしたが運用できない」では意味がないので、しっかり運用できることを見越した対策が必要だと考えています。例えばEDRのようなものは、費用や運用面で負担になるケースもあるので、そういった場合はストレージの中で対策をするといった、できるだけ手間をかけず経費も抑えた取り組みを検討する必要もあると思います。

1. TOP
2. 【セミナーレポート】水際対策だけでは危ない！サイバー犯罪から自治体のデータを守るためのデータセキュリティと“防災訓練”。