三層分離とは？

はじめに三層分離とは何かをおさらいしておこう。

自治体のネットワークを大きく3つに分けるセキュリティ対策

三層分離とは、自治体のネットワークのセキュリティ対策である。それまで「基幹系」と「情報系」の2つに分かれていたネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つに分け、外部への接続環境をそれぞれで管理するというものだ。

しかし、セキュリティの強化はできたものの、業務内容ごとに端末を使い分けることになるため、業務効率が下がるというデメリットも生じている。

なお、「三層」となる3つのネットワークは以下の通りである。 

1.マイナンバー利用事務系

主に個人情報を扱うネットワークで、具体的には次のようなものである。

・戸籍
・税金
・国保
・年金
・介護
・戸籍
・住民記録

これらの情報は、情報漏洩防止のため外部からのアクセスが遮断されており、ログイン時は二要素認証が求められる。さらに外部への持ち出しも禁じられている。

2.LGWAN接続系

 庶務関連、人事給与、文書管理、財務などを扱う政府と自治体間の専用ネットワークである。

セキュリティ対策として、アクセスの際は二要素認証が求められる。インターネット通信とは分離されているため、インターネット閲覧の際は、庶務・人事給与などの業務に関連することであってもほかの端末を使う必要がある。

3.インターネット接続系

インターネット接続で管理されている。電子メール閲覧・送信やインターネットでの情報収集、自治体のホームページ管理などの業務に利用されている。セキュリティ対策のため、自治体情報セキュリティクラウドを利用する必要があり、アクセス制限が設けられているケースも多い。

三層分離が必要とされた背景とは 

自治体のセキュリティ対策として三層分離方式が選択されたきっかけは、平成22年に発生した日本年金機構の情報漏洩事件だ。1通の標的型メールが外部に公開しているメールアドレスに届き、それを開封したことでウイルスに感染したとされている。

さらに後日、100通以上の不審なメールが日本年金機構の職員の外部非公開アドレスに送られる、という事態が発生。複数のパソコンがウイルスに感染し、結果として、基礎年金番号・氏名・生年月日・住所など、125万件以上の個人情報が流出した。

このような事件を受け、セキュリティ強化のため三層分離でネットワークを管理することとなった。

三層分離の課題とは 

セキュリティ対策のために必要な三層分離だが、ネットワークが異なるため、業務内容に合わせて使用する端末を切り替える必要があり、業務効率が落ちる点が問題視されている。

また、ネットワーク間でデータを移動させる際は、USBメモリを利用する必要がある点も問題となっている。紛失のおそれやUSBメモリ経由のウイルス感染の可能性があるためだ。

さらに、業務の頻度や携わる職員が多い文書管理や庶務関連の業務が、インターネットに接続されていないLGWAN系の端末でしか行えないところも課題といえるだろう。クラウドサービスが利用しにくく、効率的に作業が進められないという問題がある。

三層分離にまつわる4つのモデルを確認しよう

三層分離には4つのモデルがある。こちらも把握しておきたい。

1.「αモデル」 

前章で紹介した「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の三層に分離したモデルのことだ。情報漏洩リスクや外部から攻撃されるリスクが低くなるというメリットはあるが、業務の効率が下がるというデメリットも生じている。

2・3.三層分離の改善モデル「βモデル」と「β’モデル」 

αモデルの低い業務効率の問題を解決するために作られたのが「βモデル」だ。業務システム自体は「LGWAN接続系」に残し、業務は「インターネット接続系」の端末で行う、というものである。

LGWAN接続系のシステム利用の際は、デスクトップの画面データのみインターネット接続系の端末に転送できる。βモデルが生まれたことで、職員は一つの端末で「LGWAN接続系」「インターネット接続系」の業務ができるようになった。

そして、現在ではLGWAN接続系の一部システムをインターネット接続系端末に移行し、業務効率のさらなる改善が期待できる「β‘モデル」も誕生した。

ただし、βモデル・β‘モデルは、業務ごとにネットワークを分離させたαモデルと比較すると、セキュリティ強度は弱くなると考えられる。外部からの攻撃を阻止するため、サーバーやパソコン、タブレット端末などのエンドポイントのセキュリティ対策強化、モニタリングの実施、利用する職員へのセキュリティ研修などが求められる。

4.「α´モデル」（ローカルブレイクアウト） 

β/β‘モデルの場合、αモデルと比べて業務効率は良くなるが、セキュリティ強化という面では疑問符が付いてしまう。そこで、業務効率の改善とセキュリティ強化を両立するために、総務省を中心に導入検討を進めているのが「α’モデル」である。

α‘モデルでは、LGWAN接続系を経由せずにクラウドサービスへ直接接続できるようになるため、業務効率やデータの処理速度の向上が期待できる。また、αモデルレベルのセキュリティを維持しながら、β/β’モデル同様に利便性も高い。

αモデルからβ/β‘モデルへの移行と比較すると、コストがかからない点も利点といえるだろう。

ただし、以下の課題についても留意しておきたい。

・α’モデルの運用方針策定が必要
・利用する職員が知識を習得するための研修が必要
・今までとは別のセキュリティリスクが生じる恐れがある

αモデルからβ/β’モデルへの移行が遅れている理由

先に紹介した通り、αモデルよりもβ/β‘モデルの方が業務の効率化につながる。

しかし、令和5年に行われた総務省の調査（※1）によると、政令指定都市で約8割、都道府県で約7割、中核市・特別区の半数以上が、β/β’モデルへの移行を検討したものの、αモデルのまま留まっているという結果が出ている。

※1出典：総務省「地方公共団体のセキュリティ対策に係る国の動きと地方公共団体の状況について」

β/β‘モデルへの移行が遅れている理由には何があるか確認しよう。 

新たなコストが必要

αモデルからβ/β‘モデルに移行する際は、LGWAN接続系の一部システムをインターネット系に移動させるため、情報システムの構成の見直しが必要になる。よって、システム移行に関する費用、新システムに必要なセキュリティ対策費用など、新たなコストがかかるため移行が難しいというケースがある。

現場への負荷

システム移行業務ができる人材が不足しているため移行が難しい自治体もある。また、移行が実現しても、利用する職員のセキュリティ意識が低ければ安全に利用できない。職員向けのセキュリティ研修実施で現場への負荷が大きくなるため、移行に踏み切れないというパターンもある。

中長期的には三層分離からゼロトラストへ

令和6年5月、デジタル庁の河野太郎大臣（当時）は、中長期的に三層分離を廃止し、「ゼロトラストアーキテクチャ」へ移行する方針を示した。

ゼロトラストアーキテクチャとは？ 

ゼロトラストアーキテクチャとは「何も信用しない」という考えに基づいたセキュリティ対策だ。

従来は、「自治体ネットワーク内のセキュリティさえしっかりしていれば、情報漏洩や外部からの攻撃は防げる」という考えでシステムを構築していた。しかし、ゼロトラストアーキテクチャでは、クラウドを利用することを前提とし、様々なシステムでセキュリティ対策を行うこととなる。

ゼロトラストアーキテクチャ構想が出たのは、政府共通のクラウドサービスの利用環境である「ガバメントクラウド」 が導入されるからだ。ガバメントクラウドは誰でも接続ができるわけではなく、「ガバメントソリューションサービス（GSS）」（※2）のみが接続可能となっている。GSSは職員一人ひとりのパソコンから利用できるため、組織全体向けのセキュリティ対策に加え、より強固な対策が求められるようになったのだ。

※2出典：デジタル庁「ガバメントソリューションサービス」

現在、独自のクラウドシステムを持っている自治体も多いが、 業務の標準化・共通化を目指し、ガバメントクラウドへの移行を進める動きも出ている。今後の自治体のセキュリティ対策は、三層分離ではなく、ゼロトラストアーキテクチャが主流になる可能性は非常に高いといえるだろう。

セキュリティ対策と業務効率を両立するモデルを見つけよう

自治体では多くの個人情報や機密事項を扱うため、セキュリティ対策を万全に行う必要がある。これまでのセキュリティ対策は三層分離で行われてきたが、業務効率の面で課題もあった。改善策として「β/β‘モデル」「α’モデル」が出てきたが、コスト増や職員にかかる負担の面から、移行が進んでいないという現実がある。

また、今後は「ガバメントクラウド」への移行が行われる予定となっており、三層分離ではなく、ゼロトラストアーキテクチャという考えのもと、セキュリティ対策が進められる可能性もある。

自治体としても、将来を見据えて、セキュリティ対策だけでなく業務効率改善もできるネットワークモデルを考えていく必要があるだろう。
 

1. TOP
2. いまさら聞けない！「三層分離」の現状と課題、セキュリティと業務効率を両立できるモデルとは