■タイトル:自治体情報 セキュリティ対策 改定ガイドライン解説セミナー
■実施日:11月20日(金)
■参加対象:自治体職員
■登録者数:301人
■プログラム:
第1部:基調講演1
「ガイドライン改定の概説と気をつけるポイントとは」
第2部
「攻撃事例から学ぶ三層対策の新モデルに不可欠なサイバーセキュリティ対策とは」
第3部
「職員負担を1/4以下に!内と外をAPIでつなぐ、最新のメール・ファイル授受方法とは」
第4部
「自治体職員100人に聞いたセキュリティ・テレワークの課題と、ゼロトラストセキュリティのポイント」
第5部:基調講演2
「次期自治体情報セキュリティクラウドの課題と対策」
基調講演1では、今回の「地方公共団体における情報セキュリティポリシーに関するガイドライン(以下・ガイドライン)」改定に直接携わった専門家から、改定の詳細を語っていただいた。
<講師>
東京電機大学 研究推進社会連携センター 顧問 客員教授
総務省「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」座長
佐々木 良一さん
まず、ガイドラインの改定が必要とされる背景、つまり自治体の情報がどのような脅威にさらされているかという点については、以下の3つに分類されます。
これらの脅威から情報を守るための対策は、大別して「論理的セキュリティ」と「物理的セキュリティ」の2つに大きく分類されます。論理的セキュリティは、暗号化やウイルス対策、セキュリティポリシーの策定や監査などで、物理的セキュリティは、情報関連の入退出管理や、バックアップセンターの設置などを指します。
今後のサイバー攻撃は、大型化や被害形態の多様化、犯罪組織の高度化が進んでいくと見られ、その観点からも、自治体には適正なリスクマネジメントが求められます。
ガイドラインを改定するにあたってポイントとなったのは、下図の①~⑤です。
これらの方針にもとづいて、従来のαモデルに加え、βモデル、β'モデルの導入が提言されています。βモデルでは一部マイナンバー系とLGWAN系の接続を可能にし、さらにLGWAN上の端末やシステム、グループウェアなどを、インターネット接続系に配置するというものです。これには自治体情報セキュリティクラウドを導入することが必要になります。
https://www.soumu.go.jp/main_content/000688753.pdf
自治体情報セキュリティクラウドのあり方としては、セキュリティ水準の確保とコストの抑制を念頭に置き、都道府県が主体となって調達・運営していくことで市区町村のセキュリティ対策支援を行うことが求められます。サイバー攻撃が今後も厳しくなるのは間違いありません。自治体は、適切なサイバーセキュリティ対策をやり続けるしかなく、新しいことを始める際にはリスクアセスメントを実施することが大切です。
Q:セキュリティの大切さは理解していますが、メールの添付データがダウンロードしづらいなど、仕事上のやりにくさを感じているというのが本音です。
A:業務上の支障に向けた対策、という意味もあってのガイド改定です。各モデルがありますが、これらをうまく選択すれば、セキュリティを下げずに利便性やコストが上がる対応をとることができるようになると思われます。
ここからは、豊富なノウハウを持つ企業の方々が、自治体のセキュリティ強化についてのヒントを共有。
第2部はサイバーリーズン・ジャパンの菊川さんが、βモデルにおけるサイバーセキュリティについて語る。
<講師>
サイバーリーズン・ジャパン株式会社
プロダクトマーケティング マネージャー 菊川 悠一さん
既存の三層構造は堅牢なセキュリティを実現しましたが、様々な課題も抱えています。中でも多く聞かれるのが「業務遂行上の不便さ」です。そこでβモデルが登場するのですが、当然ながら攻撃にさらされるリスクも伴います。最近は、フィッシングメールやサプライチェーン攻撃などの手口も巧妙化しており、カプコン事件のように、ランサムウェアによる身代金要求なども頻発しています。
これらの攻撃は、下図のような手順を踏むものです。しかし、従来のセキュリティは初期の侵入・感染を対象としたものが多いため、エンドポイントで継続的に検知するEDRが必要になります。
βモデルの導入において、必要とされるポイントは3つあります。
(1)侵入されても検知でき、それを可視化できる仕組み
(2)専門家による脅威の監視やインシデント対応、セキュリティの運用支援
(3)テレワーク端末の管理、インシデント対応
これらの要素を抑えたセキュリティが自治体を守ります。当社では、「Cybereason(以下、サイバーリーズン)」で自治体をサポートしています。
サイバーリーズンは、アメリカに拠点を置く企業が提供するサイバーセキュリティサービスです。優位点は以下の通りです。
これらの強みにより、他社製品との比較でインシデント対応時間を半減できたという調査結果もあります。
新モデル移行ではセキュリティの見直しが必須です。その際には、前述の「3つのポイント」をふまえた対策をとる必要があります。サイバーリーズンが、自治体の情報セキュリティ向上にお役に立てれば幸いです。
第3部では、自治体職員にとって頭の痛い「ファイルの無害化とファイルの持ち込み・持ち出し」という問題の解決法を、プロットの坂田さんが提案。
<講師>
株式会社プロット 常務取締役 坂田 英彦さん
ネットワークの三層分離以前は、ファイルアクセスなどの手間はさほど問題になりませんでした。その後、αモデルで“壁”をつくり、セキュリティを高めた反面、業務効率が下がるという副作用を生みました。今回のガイドライン改定では、壁を越える回数を減らすβモデルで解消しようとしています。
ここで安全性をキープするには、前述の壁を安全に貫いて“内側と外側のドアをつなぐ”という考え方で解決できます。当社ではそれをWEB-API自動連携で実現しました。これにより、メールの添付ファイル取り込みの手間は1/18以下、外部とのファイル授受の手間は1/4以下となっています。
インターネット接続系ネットワークに設置したメール無害化システム(Temp Box)が、メール本体および添付ファイルを無害化しつつ、リンクの無効化、なりすましの警告などを行います。原本は別途サーバに保管し、無害化処理を経てダウンロードが可能です。
インターネット接続ネットワークの前段階で、ファイル授受システム(Smooth File)と無害化エンジンが仲介、さらに独自のオンラインストレージを介して安全に外部とのファイル授受を行います。
これらの作業は、共にLGWAN接続ネットワークから職員は一歩も出ることなく完遂できます。不要なポートは開放していないので安全性は損なわず、全プロセスを1社で完結するので、高いセキュリティと利便性を実現しているのです。
この、当社のファイル無害化技術は、400を超える自治体・公共団体に採用されています。専門スタッフがサポートにつく手厚い体制をとっているので、ぜひ気軽にお声かけください。
Q:パスワードZIPや暗号化ファイルを受信した場合も対応できるのでしょうか?
A:パスワード付のファイルは、システムがパスワードを聞いてくるので、それに入力すればシステム内で開封・解凍を行い、無害化した上で、ZIPファイルなら再度圧縮して送るという安全な流れになっています。
第4部では、エムオーテックスの山岸さんから、自治体アンケートの結果を交えつつ、“信頼を前提としない”エンドポイントセキュリティの向上について解説いただいた。
<講師>
エムオーテックス株式会社 マーケティング部 部長 山岸 恒之さん
ガイドラインの改定後は、α、β、β'の全モデルを通して、安全と生産性の両立を図る方法を考えなくてはなりません。当社では、実情を探るために自治体向けのアンケートを実施しました。
~アンケートの概要~
・回答は全国112自治体
・職員数200~2,000人の自治体が多い
・情報政策課の職員数は5名未満が過半数
「5%未満」が約7割。「オフライン限定で」という実施状況も目立つ。
監視(障害切り分け、通報、インシデント管理)や、対応と復旧、SOC運用サービスといった項目に十分対応できていない傾向にある。
「すでに導入済」の自治体は5.4%にとどまった。
「今後もLGWAN接続系で継続していく予定」の自治体が55.4%にのぼる。
こうした結果から、事業者のサポートが活かせる余地がまだ多いことが分かります。ここで大切なのが、「ゼロトラストセキュリティ」。「信頼を前提としない」という考え方です。例えば、インターネットは危険で自社ネットワークは安心、というのが従来の考え方ですが、ゼロトラストではクラウドの利便性を享受しつつエンドポイントのセキュリティを上げていきます。
当社がエンドポイントセキュリティ強化に貢献するツールとして提供しているものに、「Protect Cat(以下、プロテクトキャット)」があります。AIを活用した、次世代型マルウェア対策ツールです。
プロテクトキャットは、当社が提供する15年連続市場シェアNo.1のIT資産管理・情報漏えい対策ツール「LanScope Cat(ランスコープキャット)」の外部脅威対策機能です。
プロテクトキャットは、一般的なアンチウイルスとは異なり、AIによる判断で未知のマルウェアにも即対応できます。クラウドでもオンプレミスでも対応可能で、日々のアップデートは不要です。検知率は99%以上を誇ります。また、EDR機能も備えており、端末挙動からの動的な検知と対処を行い、脅威の封じ込めによる被害の最小化に貢献します。
Q:現在使っているアンチウイルスから移行する場合はどのような手順になりますか?
A:シグネチャを使っていないので従来のアンチウイルスと併用が可能です。パターンファイル型のアンチウイルスと同時に検証していただき、満足いただけた場合は、従来のアンチウイルスをアンインストールすればOKです。
セミナー最後の登壇は、民間ソフトウェア会社での勤務経験があり、総務省「地方公共団体における次期情報セキュリティクラウドの検討に係るワーキンググループ」構成員も務める青森県の武田さん。先進的と評される同県の取り組みを共有していただいた。
<講師>
青森県 総務部 行政経営課IT専門監 武田 雅哉さん
まず、次期セキュリティクラウドの概要についてお伝えします。今までと比較して大きく変わった点が3つあります。
これらの考えをもとに、都道府県と市区町村が一体となったセキュリティ対策とインシデント対応を目指そうとする流れになっています。
青森県の取り組みの柱は、下記の5つです。
「システムの投資評価とフォローアップ」では、庁内のシステムについて投資の可否を5段階で評価し、これをもとにセキュリティ対策などを指導します。運用コストの削減基準になり、セキュリティ上の急なコスト発生も防ぎます。
「情報セキュリティ外部監査」については、本県の基幹システムをとってかわる事のできる企業に外部監査を委託しました。双方に発破をかけ、緊張感を高めています。「情報セキュリティ内部監査と監査人育成」は、各所属のシステム担当を中心に監査チームをつくり、2人1組で内部監査を行います。
「新規・更新時の調達協議」は、システム調達に際して、仕様書や契約方法などについて協議を行っています。
「セキュリティ研修、CSIRTの構築、他」では、実践的サイバー防御演習やインシデント対応訓練等を受講させ、インシデントやシステム障害発生時の対応手順及び役割分担、インシデント対応チーム(CSIRT)の役割を明確化しています。
青森県は現在αモデルを採用していますが、いずれβに移行したいと考えています。問題はコストです。それを解決するために、東北6県で協議を重ね、さらに新潟県を加えた7県共同で、セキュリティクラウドを構築していこうと合意しています。費用の増加も抑えられる見込みです。さらに、各県の知見を持ち寄ることでノウハウも蓄積されています。こうした当県の取り組みが、皆さんの参考になれば幸いです。
Q:青森県はいずれβという選択ですが、共同調達でαを採用する県があった場合はどうしますか?
A:モデルを問わず必須の機能は共通化して、他はα、βそれぞれ独自開発していくという流れで進めています。ただ、今は別の選択をしていても、今後は足並みがそろっていく可能性も残されています。
サービス提供元ジチタイワークス セミナー運営事務局
2
昇任試験で合格を目指す公務員のための「論文・面接対策」【連載】第1回
