左：政策推進課
主幹 中村 達哉（なかむら たつや）さん
右：政策推進課
係長 志賀 昭仁（しが あきひと）さん

ログ分析の手法もリソースもなく、実地検査で不備を指摘される事態に。

行政システム標準化によってセキュリティレベルが向上しても、自治体では継続して対策を行う必要があるだろう。PPCでは毎年、個人情報保護法やマイナンバー法にもとづき、書面による安全確認と立ち入り検査を実施。対象は、自治体を含む全国50～60の地方公共団体からランダムに選出される。そのおよそ8割の自治体が“ログの分析等”の項目で不備を指摘されているそうだ。ログとは、コンピューターの利用履歴のこと。“いつ・誰が・何を実行した”などの情報が、システムやパソコンに記録される。これを管理・分析することで、不正な操作などの兆候が早期に検知できるという。

令和4年、北海道内の自治体へPPCの立ち入り検査が行われ、同町もその対象となった。検査の結果、“ログの分析等”の項目で指摘を受けたという。「以前からログの管理・分析には課題を感じていましたが、当町の情報システム担当は2人だけ。トラブル対応など目の前の業務に追われ、手がまわっていませんでした」と中村さん。志賀さんも「私たちでログの確認はできても、分析となるとノウハウが必要。何をどうすればいいのか分かりませんでした」と、打ち明ける。

企業との実証実験で不審操作を精査しログ分析のシステム開発につなげる。

そこで頼りにしたのが、自治体専門のデジタルサービスを展開する「HARP（ハープ）」だ。同社は、北海道と民間の出資からなる第三セクターで、行政システム基盤の共同利用やセキュリティ対策などをサポートする。「ネットワーク構成をβモデルに移行した際に、外部監査を委託した経緯があり相談しました。しかし、セキュリティの知見がある同社でも、ログ分析は初めてだったので、実証実験で効果的な手法の確立を一緒に目指すことにしたのです」。

対象としたのは、住民記録や税などを扱う基幹業務。分析をするには、“誰がどの端末で、どのような操作をしたか”の把握が必要となる。そのため、まずそれぞれのシステムと端末のログを調査して、どの履歴がどの職員のものかを整理した。その上で、インシデントが疑われる行動や条件を洗い出していったという。「自治体業務の特性や習慣などの現場感覚をもとに、試行錯誤を繰り返しました」。

約1年間の実証期間を経て完成したのが、クラウド型ログ点検サービス「ろぐみ～る」だ。確認するのは、“土日祝日のアクセス”“ファイル持ち出しの可能性”“権限越境の可能性”など12項目。操作履歴を条件と照らし合わせて判断する。リスクがあると評価されたものが、2カ月に1度、同社から報告される仕組みだ。「報告された操作が問題行動かの判断は、当町が行います。全部が悪意のある行為だとは思っていません。例えば、住民対応を優先するあまり、別の職員アカウントでログイン状態のパソコンを操作してしまったなど、やむを得ない状況もある。客観的な報告をもとに、該当職員へヒアリングを行います」。

点検と分析を継続することで、“何事もない”状態を維持。

令和6年度より同サービスを本格導入した同町。幸い、実証実験の頃から不正につながる動きは検知していないそうだ。「何より、ログの点検自体が、職員への抑止力になっていると思います」と志賀さん。また中村さんは、定期的な点検と分析を続けていくことがポイントだと話す。「インシデントを発見するためのログ点検ですが、“何事もない”という状態が、まちにとっては一番大事。これを当たり前に維持するのが、システム管理者としての責任です。業務のデジタル化を進める上で、ログの点検・分析は欠かせないものだと思います」。

今後、情報セキュリティの重要性はさらに高まると予想されるが、異動も多い環境の中で、職員が自らログを分析することは難しいだろう。だからこそ、システムの活用でリソース不足を補うことは、有効な手段ではないだろうか。

1. TOP
2. データの操作履歴を分析して、不正や情報漏えいを検知する。