概要

◼タイトル：自治体の情報政策の今がわかる3日間
◼実施日　：5月29日（月）～5月31日（水）
◼参加対象：自治体職員
◼申込者数：114人
◼プログラム
　＜Day２＞
　Program１
　　減らない情報システム事故を受けて自治体情報担当者のあるべき姿を考える
　Program２
　　ISMAPを取得したEDRと監視サービス～クラウドサービス利用時のセキュリティ強化のポイントをご紹介～
　Program３
　　Emotet、ランサムウェアから自治体を守るセキュリティ対策とは？
　Program４
　　トークセッション/職員数200名余の長野県箕輪町が取り組むDX

減らない情報システム事故を受けて自治体情報担当者のあるべき姿を考える

＜講師＞

立命館大学 情報理工学部　教授
総務省「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」委員
上原 哲太郎 氏

「三層分離」を軸にした自治体のシステム強靭化

IPA（情報処理推進機構）が公開している「情報セキュリティ10大脅威」は、毎年２月頃に刷新され、「組織編」と「個人編」に分かれていますが、組織編の方には同じテーマがずっと取り上げられています。もともと、十数年に渡って標的型サイバー攻撃が大きな話題になっていましたが、特に年金機構事件が大きな話題になりました。

最近は、情報システムが連携しているサプライチェーンを対象に攻撃する例も出ています。
年金機構事件は、年金事務所にある情報系と呼ばれるインターネットにつながったパソコンが、マルウェア入りのメールを読んでしまい感染。これが遠隔操作によって、システム内で感染を広げると同時に、共有サーバーにあったデータを持ち去るというものでした。これと同じファクターで、長野県上田市が攻撃されました。

これを受け、急きょ自治体の情報セキュリティを改善するための検討会が総務省でつくられました。そこで取りまとめられたのが「三層分離」です。三層分離でシステムが強靱化されたことで、マイナンバーをはじめとする住民の重要な情報が守られ、首長部局では、ほぼ標的型攻撃は根絶しました。

しかしその後、残念な事故が起きてしまいました。地域の基幹病院です。特にランサムウェア被害が目立っており、徳島県つるぎ町立半田病院では電子カルテと共にバックアップデータがやられてしまい、医療行為に大きな影響が出ました。被害の理由は、VPNの脆弱性に対処していなかったことです。2022年に被害を受けた大阪急性期・総合医療センターも同様に、VPNなど一部に穴が残っていたことによって侵入されていました。

外部委託が事故原因になってきた事例について

委託業者との連携問題もあります。自治体は異動がある組織なので、引き継ぎが不十分の場合に記憶が欠落してしまいます。ノウハウなども失われてしまいがちです。外部委託が事故原因となった事例は、記憶にあるものだけでも、これだけ出てきます。

・1999年　宇治住民基本台帳漏洩事件
・2006年　戸籍データ持ち出し脅迫事件
・2007年　愛南町住民基本台帳漏洩事件
・2019年　神奈川県HDD転売事件
・2022年　尼崎市USBメモリ紛失事件

事故を実際に起こした業者は、外部委託の再委託というのが大きな問題です。システム的なところで外部委託の事故が話題になったのは、2019年に起きた「Jip-Base（ジップベース）障害事件」です。この事故で、利用していた約80団体のうち53団体・453システムに大規模なストレージ障害が出ました。この事故を精査した結果、Jip-Baseを責めるのはあまり良くないと判断しました。予見するのはなかなか難しいタイプのバグだったためです。

むしろ１番の問題は、自治体側にあると思いました。あまりにも安価な価格設定であることを、疑問に思わず契約した点です。このサービス内容でこの低価格は、普通なら「変だ」と思うはずですが、残念ながらそうはなってなかったというのが非常にマズいポイントだったと思います。

「問題点」が明らかでないと、さらに深刻な問題が生じる

2021年、クラウドを利用したシステム運用に関するガイダンスが策定されました。あるツールを導入していた自治体の、設定不備によって情報漏洩が起きかねない状況だった事案が、改定のきっかけです。自治体はこのツールを直に契約していたのではなく、業務委託先のベンダーに任せきりでした。そうした背景もあって、責任の共有がどのように行われるべきなのかという点が明記されています。

脆弱性に関して話題になっているのが、「コンビニ交付」の問題です。各コンビニから五月雨式に入ってきたリクエストに対し、ソフトウェアの処理品質に問題がありました。ちょっとしたことでバグが起こり、トラブルが頻発しました。問題はパッケージの部分ではなく、自治体との連携のカスタマイズ部分です。

システムの評価をしようと思う場合、技術と業務の両方が分からないといけません。特に運用によって発生するリスクは、技術面でどういうリスクがあるか、運用上どういう意味を持つのかが分かる人にしか判定や制御ができないので、両方分かる職員が必要なのです。実際に作業するエンジニアなどが再委託先であったりすると、ノウハウが全てその人に溜まって行くのです。その結果、どうなるかというと、某自治体のUSB紛失事件のようなことが起きてしまいます。事故を起こした人は、某市役所に20年くらい関わっていて、その人がいないと業務がまわらず、しかも市側は、再委託業者であることを把握していませんでした。

私は最近、業務が“ブラックボックス化”していることを気にしています。業務の細かい部分はシステム内に実装されています。自治体の情報担当課には、ITがよく分かっている人を最小限でも置くべきだと思います。可能ならば、各原課に少しずつ増やしていくことが重要だと思います。

[参加者とのQ&A] ※一部抜粋

Q：自治体情シス業務における内製化と外注化とのバランスを、どう取るかについて見解を聞かせてください。
A：「現状」と「将来」に分けて考えなければいけないと思います。
一から業務を内製化するのは現実的ではありません。ただ、例えば、特別定額給付金の事務のように突発的に生まれる業務の場合、ちょっとしたものを手元でつくるぐらいのものであれば、内製化できた方が良かったですね。
「将来」ですが、御存じのとおりこれからは、色々なシステムがガバクラの方に吸い上げられ、そちらで動くようになります。当面は、オンプレで動いていたシステムが向こうで動いているだけという状態になると思います。
しかし将来的には、これを細かく分解し、ちょっとしたプログラムによって機能追加できるようになるでしょう。その際は、機能追加の部分を、外注せずに内製すべきです。基幹業務にさらに加えるっていうのは、まさに自治体側で独自に行う業務になるということは間違いないです。そういった、新しく生まれた自治体の独自性を出した施策っていうのは、ダイレクトに内製できるべきだと思います。

Q：業務担当課との連携や、スムーズに課題管理などを進めていく方法と、そのときに見落としやすい確認事項があれば教えてください。
A：これはなかなか難しいですね。私自身が長い間、自治体の非常勤ですので、職員と一緒の立場です。自治体のやる仕事は非常に幅が広いので、業務担当課が全てを理解するのは、並大抵のことではありません。
まずは情報システム側が、業務の中身をよく理解するところから始めなければなりません。その後、どこをシステムにするのか、どこを手作業にするのか、どこを内製にするのか、あるいは、どこをエクセルなどでやるのかといったことを切り分けていくことになります。そこで、技術的な感覚が必要になると思います。

ISMAPを取得したEDRと監視サービス～クラウドサービス利用時のセキュリティ強化のポイントをご紹介～

＜講師＞

サイバーリーズン合同会社　セールス・エンジニアリング本部
パートナーSE部　シニアセールスエンジニア
倉沢 陽一 氏

サイバーセキュリティの脅威動向と事例

近年、RaaS（Ransomware as a Service）やランサムウェア、サイバー攻撃という言葉を耳にする機会が増えてきました。

ランサムウェアの開発、ハッカー、ターゲットとの交渉、マネーロンダリングの技術サポートなど、スペシャリストたちによる分業制が進み、サイバー空間では今や、攻撃者が優位になっています。脅威グループによっては国家の支援を受けている場合もあり、莫大な資金を持っていることもあります。

攻撃者は「あらゆるセキュリティの死角」を見つけ、侵入し感染させます。一方、守る側は限られた予算、人員、効果の薄い従来型のセキュリティ製品のままで、侵入されても気づかず、被害が拡大しています。
対策としては、既存セキュリティの見直し・強化と、エンドポイントの可視化をすることが大事です。

ランサムウェアの被害を受けた組織の89％が、休日に攻撃を受けています。監視が手薄になる休日や週末に狙われる傾向があります。たとえ身代金を払ってしまったとしても、80％の組織が再び攻撃を受けており、そのうち半数は、1回目と同じグループから攻撃を受けています。攻撃ストーリーを把握し、「情報窃取」前までに対処することが必須です。

ガイドラインの動向と求められる対策

最新の脅威動向を見て、政府や各省庁はサイバーセキュリティ対策の強化をガイドラインで拡充しました。
2015年から自治体を中心に、三層分離、無害化、セキュリティクラウドの導入を進め、情報資産を分離することでセキュリティを強化。さらに2020年にはクラウドバイ・デフォルトやガバメント・クラウド、ゼロトラストという流れの中で、「地方公共団体セキュリティポリシーガイドライン」には、三層分離の見直しによるセキュリティ対策や、クラウド利用に関する特則の追加などが盛り込まれています。

これに伴う新たなセキュリティ対策としては、「エンドポイント対策」と「クラウド活用」がカギです。αモデルからβモデルへの移行では、インターネット接続系における業務利用範囲が拡大することにより、エンドポイント対策が追加されています。β’モデルの移行においても、エンドポイント対策が追加されると同時に、各業務システムのログ収集監視も追加されています。

Cybereason製品のアーキテクチャと監視体制

ウイルスの侵入を防ぐためにマスクをしても、隙間から侵入されることがあります。仮に体内にウイルスが侵入してしまっても発症させない、重症化させないためにあるのが、ワクチンです。このワクチンに該当するのが「EDR」です。
さらに、ウイルスを可視化するのが「ディフェンスコンソール」で、かかりつけ医に感染の状況を診てもらい、治療のアドバイスをもらうことに該当するのが「MDR」と呼ばれる監視サービスです。
弊社のCybereason製品の役割を、イメージしやすくした図をご覧ください。

Cybereason EDRとCybereason MDRサービスは、政府が求めるセキュリティ要求を満たしており、ISMAPに登録されています。

CybereasonMDRの監視サービスは、24時間365日の監視。上がってきたアラートに対して、脅威度判定を行い、場合によっては能動的抑止制御という一次対処を含め、サービス監視サービス側で実行します。

専門アナリストによるエンドポイント監視・解析・対処サービスについては、下記の図解を参照してください。

アラートを検知した際、監視サービスMDRで脅威度の判定を行います。脅威のレベルに応じて自動抑止制御で、プロセスを停止か端末をネットワークから論理的に隔離する一次対処を行い、お客様に通知をします。

詳しい通知フローについては、下記を参照してください。

当社から送信するレポートは、日本語で送付されます。脅威度判定に役立つスコアリングや、影響範囲の特定に必要な端末ユーザ情報、報告に必要な要約や進行有無の情報、応急・復旧措置や再発防止策に必要な情報が解析されています。

サイバーリーズンは、検知のリアルタイム性、IT攻撃の可視化、あるいは可視化した上で、相手の攻撃を分析できているかという点で、非常に高い評価を得ており、国内のリサーチ会社による評価においても、エンドポイントセキュリティでNo.1の評価を得ています。

Emotet、ランサムウェアから自治体を守るセキュリティ対策とは？

＜講師＞

デジタルアーツ株式会社　マーケティング部
中川 早矢 氏

多様化・複雑化するセキュリティ脅威

自治体ガイドラインはの多くが、実際に起きたインシデントを受けて改訂されています。2015年には日本年金機構における情報流出を受けての改訂、2023年３月には、クラウドサービス利用やサイバー攻撃の増加に対してセキュリティ対策が記載されました。クラウドサービスの利用に関しては、責任の範囲や所在を明確にすることが必要であり、ISMAP等の第三者認証が取れている安全性の高いサービスを利用することが推奨されています。

2023年3月のガイドラインの改定には、「Emotet」「ランサムウェア」「フィッシング」の被害が多発しているため、クラウドサービス利用やサイバー攻撃に対してセキュリティ対策の内容が記載されており、部からの攻撃対策は基本的なセキュリティ対策として、対応が必須です。特に昨年はEmotetの活動が再開し、爆発的に感染が増えました。

そもそもEmotetとは、金融機関の情報を読み取るマルウェアです。自然な日本語で書かれた巧妙なメールを攻撃の入口として送る場合もあり、メールの開封率が高く、感染してしまうケースが多くありました。昨今では、Emotetに感染後、ランサムウェア等の他のマルウェアを呼び込むマルウェアとしても知られています。

ランサムウェアは、データを暗号化し、復号する対価として身代金を要求してきます。拒めばデータを公開するという二重の脅迫をすることで、被害を深刻化させています。また、三重脅迫や 四重脅迫…と、昨今では、脅迫の手口が多重で巧妙になり、自社だけでなくやりとりをしているパートナー企業等のデータにも被害が及ぶ可能性もあります。

フィッシングメールは、実在する組織や個人になりすました攻撃者が、メールで正規のウェブサイトを模倣した偽サイトに誘導。認証情報、ATMの認証番号、クレジットカード番号等の重要な機密情報を詐取する手口です。

「Emotet」「ランサムウェア」「フィッシング」の感染経路からわかる通り、メールの添付ファイルとURLからマルウェアに感染する場合が多く、業務で必要な情報が窃取されたり、自社以外にも被害が及ぶ可能性もあるため、注意が重要です。
 

自治体セキュリティ対策のポイント

現在、αモデルからβモデル、β'モデルへの対応が進んでいると思います。ネットを利用することで業務は便利になる一方、サイバー攻撃や情報窃取の危険性が高まっています。
βモデル、 β'モデルに求められるセキュリティ対策としては、例えばメールの無害化、Webアクセスの管理、アクセスログを残すことなどです。また、重要なファイルは暗号化と管理が必要です。

デジタルアーツソリューションのご紹介

ここからは、自治体での業務環境を守ることができる、デジタルアーツのソリューションについてご紹介します。

［m-FILTER / m-FILTER@Cloud］
「m-FILTER」は、外部からの攻撃の起点となるメールの入口対策や、情報漏洩の原因となるメールの出口対策が可能な、オールインワンの純国産のメールセキュリティです。メールの無害化も可能で、LGWAN接続系やインターネット接続系での業務もセキュアに行うことができます。

［i-FILTER / i-FILTER@Cloud］
「i-FILTER」は、業務で利用する安全なWebサイト、脅迫情報サイトとしてすでに知られている悪性のWebサイトを、データベース化しているため、危険なサイトはブロックし、安全なサイトのみアクセスすることが可能です。さらにできたばかりの未知のWebサイトについては、危険な可能性があるため、「i-FILTER」で一旦ブロック。デジタルアーツの専任の部隊でサイトの安全性を確認後、「i-FILTER」の全ユーザーのデータベースに再送信されるため、ユーザーの負担なく、安全なサイトのみ閲覧できる世界を実現しています。

［FinalCode/FinalCode@Cloud］
「FinalCode」は「守る」「追跡する」「後から消せる」機能により、重要情報へのアクセス制御を実現した製品です。「FinalCode」では、ファイル自体を暗号化し、操作権限を設定することができるため、ファイルをより強固かつ柔軟に守ることが可能です。特にマイナンバー接続系には、個人情報など重要な情報がありますが、その情報をファイルとして保管する場合、閲覧者を業務で利用する人だけに絞った状態で保管しておくことで、不要な閲覧を防ぐことが簡単に実現可能です。

また、万が一の驚異が発生した場合には、Web、メール、ファイルそれぞれの製品で、常にログを取っているので、何かあった際には確認していただけますがデジタルアーツでは、「i-FILTER」と「m-FILTER」をご利用のユーザーにサイバーリスク情報を無償でお知らせしています。それが「Dアラート」機能です。

さらにDアラートが検知した中身を精査し、対応方法まで教えてくれるオプション「Dアラート発信レポートサービス」もございます。リアルタイムで脅威情報をレポートでお知らせし、レポートの内容を見れば、いつ、誰が、どこから、どんな脅威が発生したのかを一目で確認していただけます。

また、本日ご紹介した製品のクラウド版「i-FILTER@Cloud」、「m-FILTER@Cloud」、「FinalCode@Cloud」はそれぞれISMAPに登録されている製品ですので、クラウド製品であっても、安心してご利用いただけます。

Web、メール、ファイルの基本的なセキュリティ対策をデジタルアーツのソリューションで対策し、安心安全な自治体の業務環境を実現しましょう。

[参加者とのQ&A] ※一部抜粋

Q：デジタルアーツ製品は、どのくらい自治体に導入されていますか。
A：詳しい数はお答えできませんが、全国で大体４割程度の自治体に導入・活用いただいています。

Q：アイフィルターのアンチウィルス＆サンドボックス機能では、ZIP暗号化されたファイルの検査もできますか。
A：可能です。ブラウザにパスワードを入力するとアイフィルター画面が出てくるので、そちらに入力していただくことで、パスワード付きZIPファイルでも検査が可能です。

トークセッション/職員数200名余の長野県箕輪町が取り組むDX

＜講師＞

左：長野県 箕輪町 総務課 DX推進室 DX推進係長
　　小口 陽平 氏
右：合同会社KUコンサルティング　代表社員
　　髙橋 邦夫 氏

「箕輪町DX推進方針」について

令和４年３月に「箕輪町DX推進方針」を策定し、サブタイトルを「Well-being 〜より良い未来へ〜」としました。2025年までに目指す姿として、「行政手続きに手間を取らせず、住民の皆さんの時間を大切に」ということを記載。その中身は、手続きのために役場へ来るなどの時間や労力を減らし、役場の業務の効率化も図ることで、より良い行政サービスへとつなげることを記載しました。

令和４年度のDX関連の各ワーキンググループ設置状況ですが、ペーパレス、施設予約、キャッシュレス、オンライン申請の４つのワーキンググループは、令和３年度に発足して現在も継続しています。RPA検討とGIS検討については、令和４年度から新設。電子契約検討、町HP検討のワーキングについては、年度の途中から発足しました。いずれも数名～10名程度の職員で構成され、約４分の１程度の職員が何らかのワーキングに携わっています。

これまで、何かのシステムを導入することや、新たに電子申請を始めることが年度目標になっていましたが、今年度はシステムが入ったため、業務のやり方をシステムに合わせる、電子申請で受け付けた後の最適な業務フローを検討するという点を、目的に活動をしています。
これまでの主な取り組みは、下記の図をご覧下さい。

この中で、早期に対応を進めたテレワークに関しては、4月に取りまとめられた総務省のテレワーク導入事例集に掲載されました。導入を検討されている自治体がおられましたら、ぜひ一度ご覧いただければと思います。

取り組みを通じて明確になった課題

ここ数年で環境が大きく変わったことにより、職員間の意識や知識の差が顕著になりました。これが課題の１つ目です。
正規職員間もそうですが、正規職員と会計年度任用職員間の差が、かなり大きくなっているようです。「意識の差」を解消しようと、昨年度末に係員と会計年度任用職員を対象にしたDX研修を実施。継続していかなければ、差は縮まらないのではないかと感じています。

課題の２つ目は、デジタル化が優先され業務の変革が追いついていないという点です。
デジタル化の「Ｄ」の部分は目に見え、目標や終わりがはっきりしていますが、「Ｘ」の部分には終わりがなく、なかなか見えづらい部分です。また、今じゃなくても良い…と、後回しにされがちです。

課題の３つ目は、農業や産業など「外向けDX」が弱い点です。
こちらはほぼ手がつけられていない状況で、先行自治体の取り組みを参考にさせていただきながら、可能な範囲で追伸できればと思っています。

いずれにしても、職員一人ひとりが、なぜDXが必要なのかを常に考える必要があり、そうすることでより効果的にDXが推進されるものと思っています。また、１つの町だけで進めても、あまり意味がなく、広域、県、国全体で推進していくことが必要だと思っています。知恵を出しながら、全体でより良い未来に向かっていければと思っています。

トークセッション

高橋：DX推進課は、８つのワーキンググループの運営にどのように関わっているのでしょうか。
小口：発足当時は自主性に任せようということで、あまり関わらずに進めていました。しかし、職員は多忙な中で取り組んでいますので、なかなか進みませんでした。令和４年度からは、各ワーキングにDX推進係のメンバーやDX推進室のメンバーが入ったことで、うまくまわり始めました。

高橋：各ワーキンググループに職員の約４分の１が関わっているとのことでしたが、どこかの課に集中せず、満遍なく各課から選ばれているのでしょうか。
小口：基本的には、各業務に関わりがある課から職員を選んで、偏らないように注意しました。ただ、子育て関係、窓口関係、オンライン申請などは、どうしても同じような課題があるので、１つの課から複数名に出てもらう場合もあります。

高橋：箕輪町の課題の中に、「意識の差」があると話されていましたが、どのようなものでしょうか。
小口：ワーキングに関わっている職員は、徐々に意識が高くなってきています。自発的に、この業務はオンライン化できるのではないかと考えられるようになってきています。一方、会計年度の職員はワーキングに触れる機会がないため、なかなかDXへの理解が進まないように感じましたが、研修を実施したところ、日々の業務に対し課題の認識を持っていることが分かりました。

高橋：箕輪町のテレワークの取り組みが総務省の事例で紹介されましたが、そもそもテレワークを始めようとしたきっかけは何だったのでしょうか。
小口：新型コロナウイルスの感染が拡大し始めたことです。職員が感染した場合、濃厚接触者となったまわりの職員まで休まなければならない状況になっていたため、上司に訴えコロナの交付金を活用し、テレワークを導入することができました。

高橋：本日参加している小さな自治体に向けて、アドバイスをお願いします。
小口：本町は職員向けのシステムなどに対して、案件次第ではお金をかけてもらえます。熱意を持って上司や理事者に訴えると、通りやすいのではないかと思います。

1. TOP
2. 【セミナーレポート】自治体の情報政策の今がわかる3日間　Day2