【セミナーレポート】Withコロナ時代における自治体テレワークの在り方と改定ガイドライン対応のポイントとは?
Withコロナ・Postコロナ時代の「新しい生活様式」に対応するため、厚生労働省は先ごろ、平成30年策定のガイドラインを全面刷新した「テレワークガイドラインの改定」を全国自治体に通達しました。ただ、厚労省がいう「一層良質なテレワーク」を実現するためには様々な課題がありそうです。そこで、改定ガイドライン対応のポイントについてICTのプロに語ってもらいました。 当日の内容を概要版でお伝えします。参加できなかった方は、次回のセミナー開催にご期待ください。
概要
◼タイトル:Withコロナ時代における自治体テレワークの在り方と改定ガイドライン対応のポイントとは?
◼実施日:4月20日(火)
◼参加対象:自治体職員
◼登録者数:249人
◼プログラム:
Program1
日本のけしからん行政機関や大企業でけしからんサイバー技術開発を行うことについて
Program2
職員様負担を4分の1以下にするメール・ファイル授受方法
Program3
α、β、β'の導入例と当社製品を活用した対策
Program4
規模別!メール・ファイル無害化の推奨構成
Program5
自治体におけるテレワークと情報セキュリティ
日本のけしからん行政機関や大企業でけしからんサイバー技術開発を行うことについて
新型コロナ感染者の増加で在宅勤務を強いられている人々を支援するため、NTT東日本と情報処理推進機構(IPA)は無償・ユーザー登録不要で利用できるシンクライアント型VPN「シン・テレワークシステム」の提供を開始した。このシステムを、わずか2週間ほどで完成させた登さんが、日本の企業および自治体がICT技術を生み出せない・使いこなせない原因について解説した。
<講師>
登 大遊さん
IPA サイバー技術研究室長
プロフィール
ソフトウェアおよび通信ネットワーク研究者。SoftEther VPNを開発・製品化・オープンソース化し、全世界に500万ユーザーを有する。外国政府の検閲用ファイアウォールを貫通するシステムの研究で、筑波大学で博士(工学)を取得。2017年より独立行政法人情報処理推進機構(IPA)サイバー技術研究室を運営。2020年にNTT東日本に入社して特殊局を立ち上げ、シン・テレワークシステムを開発。ソフトイーサ株式会社を16年間経営中。
日本のICT産業は「江戸時代末期」のレベル
私は平成15年から「SoftEther VPN」というオープンソースのソフトウェアを開発しており、世界約54万の企業および団体がこのVPNソフトウェア使用しています。日本でも商用版を発売し、約7,400社の業務を支えています。このソフトウェアをもとに、政府の検閲用ファイアウォールを無効化する「VPN Gate」というシステムも開発しており、中国、ロシア、北朝鮮、シリアなどの約2,500万人のユーザーに、自由な知識へのアクセスを保障する活動も行っています。こういった「けしからん」活動に対して、先日、総務大臣表彰をいただいたところです。
さて、日本のICT産業の状況は酷いもので、私に言わせると「江戸時代末期」レベルの、産業化以前の様相を呈しています。その最大の原因は、自由な発想でプログラムを書いたりインターネット上の取り組みをやったりすることを、学校や職場の上司などが禁止するからです。歴史を振り返ると、日本の様々な技術・文化は常に海外より30~300年ほど遅れていて、それを海外から吸収して自国内で急成長させることで現在の日本があるわけです。したがってICT産業に関しても、これから巻き返しを図っていくことが重要ではないかと考えています。
「仕事以外のことはするな」と叱責すべからず
新しいICT技術を生み出す際、最初から一定以上の性能や完成度を求めて取り組むのは間違いです。例えばGoogleの初代サーバが、486DXのインテル製マザーボードをケースにも入れず、大学の構内に乱雑に並べたものから始まったように、ある程度の“インチキ環境”が、新しいものを生み出すための原点になると思います。
プログラムコードを記述している時のプログラマーの頭の中は、様々なコードが複雑に枝分かれしたりつながったりしている状況です。ソフトウェア・ハードウェア技術をはじめ通信、経営学、工学、政治経済、数学、論理学など、既存の産業とは比較にならないほど豊富な“原材料”が必要で、それらの複雑な反応による回路が頭の中に構築されなければ、新しいものは出てきません。したがって、社内にいるプログラマーがIT系以外の勉強をしているのを見て、「仕事以外のことはするな」などと叱責するのは止めるべき行為です。
複雑なICT技術をつくる人の頭の中は様々な思考が重なり合っていて、実はやっている人自身もよく分かっていません。しかし、それが価値の源泉。日本の場合、“ガバナンスおじさん”的な役職者が出てきて途中経過の説明を求め、思考の中から1つだけを“言語”として選択させようとするのでほかが消滅する。これでは、“人為的な成果”しか生まれません。現在の日本型組織のICT環境は、規制や規則、明確な説明と計画・設計、ルーティンワークなどで縛られています。その結果、能力が埋没し、人為的成果の限界、成果を目的とした成果しか出せませんでした。
今後、高度なICT人材・技術を育成するためには、明確な統制なしに自然に統制がとれているような状態をつくることです。人為的成果では生じ得ない、社会に普及するような成果を生み出すには、その状態が必要なのです。UNIXやWindows、Linux、インターネットなど、いつの間にか世の中に普及し、社会の発展に大いに貢献しているICT技術は、規制や規則の中から生まれたものではありません。
必要なのは「けしからんいたずら」
日本型の企業や自治体にとって重要なのは、「けしからんいたずら」です。ICT技術を生み出す際、脳内で複雑な反応を起こして出てくる「けしからんいたずら」は、イノベーションの原動力となり価値あるものです。マイクロソフト、Apple Computer、UNIXなど、ICT技術の基盤となっている技術を生み出した企業の多くが、創業までには常識から逸脱したような「けしからんいたずら」を繰り返し、そこから新技術を生み出しています。日本の組織の場合、そうしたいたずらを許容しない土壌がある点が、ICT技術における弱点になっているのではないでしょうか。
日本の組織や人は、クラウドもセキュリティソリューションもインターネット環境も、人のつくったものを使うのが普通でした。しかしこれからは、新クラウドサービス技術、新セキュリティ技術、新インターネットシステムなどの技術を開発する人・組織が、日本のICT・セキュリティ産業を生み出すことになるでしょう。日本には、それを実現するための資産・資源があります。
経産省系のIPAと総務省系のNTT東日本が連携して提供開始した「シン・テレワークシステム」は、お化けが出てきそうな環境の、私のサーバールームで生み出したシステムです。自律的なコンピューター・ネットワークの実験環境を、自力で勝手に構築しようとすることを黙認し、その環境の上で、彼らが自由に技術開発できるようにすれば、自然に人材が育ち、技術が生まれます。
[参加者とのQ&A] ※一部抜粋
Q:ネットサーフィンも自由にできない「LGWAN」接続環境が、自治体のリモートワークを阻んでいるように思いますが、どうでしょうか。
A:庁舎内・外での働き方を決めるのは自治体職員のみなさんたちであって、問題解決の責任を負うのは国ではありません。自治体には自治権があるのですから、例えば古くなったデータ室で、実験用に作成したダミーデータを使うなどで、試行錯誤してみてはどうでしょうか。
職員様負担を4分の1以下にするメール・ファイル授受方法
「自治体情報セキュリティ強靱化」から5年が経過。セキュリティレベル向上の一方で、情報ネットワークの分離・分割による事務効率の低下などの影響も報告されている。テレワークへの対応、サイバー攻撃の増加・手口の巧妙化など、新たな時代の要請も出てきた。システムリプレイスなどを検討中の自治体に向け、プロットの坂田さんが業務負担を大幅軽減させる自社システムを紹介した。
<講師>
坂田 秀彦さん
株式会社プロット 常務取締役部長
プロフィール
2002年から受託システム開発事業に携わり、長年のプロジェクトマネジメントやコンサルティング業務で培った顧客志向の課題解決ノウハウを活かし、自社セキュリティ製品の企画・営業・広報などの対外的活動を統括する。情報処理安全確保支援士。
2枚の「ドア」を1枚にするソリューション
先般、自治体職員の方115人を対象にアンケートを実施する機会がありました。「ネットワーク分離によって、どのような業務の効率が低下したと感じますか」の設問に、およそ70%の方が、ファイルの持ち込み・持ち出しの能率低下を感じておられることが分かりました。そもそも利便性が下がる原因は、庁内LANという内側の世界とインターネットという外側の世界との間に、壁をもう1枚つくったことだと言えます。特にαモデルは設計上、インターネットとのやり取りが苦手です。
これを改善するために設計されたβモデルは、重要ネットワークへの入退室回数を減らすアプローチで、利便性をアップしています。ただ、αモデルと比較するとセキュリティレベルが低下するため、人的教育や検知能力、即応体制の充実が“肝”となります。セキュリティレベルが高いαモデルを用いつつ、重要ネットワークへの入退室にかかる手数を下げる手法があれば、皆さんがもっと楽になると当社は考えました。
当社がご提案する手間・手数の削減手法は、“内側のドア”と“外側のドア”をつないで1枚にすることにより、手間・手数を削減しようというもの。具体的には、LGWAN網に接続するLGWANセグメントと、庁内ネットワーク内のインターネットセグメントとの間に「Smooth Fileネットワーク分離モデル」というファイル授受システムと「FastSanitizer」というファイル無害化エンジンを置き、2つに分離された“内側”をつなぐ“内側のドア”にする。そして、インターネットセグメントの外側のドアに置いた「TempBox」というメール無害化システムと「Smooth File6」という外部ファイル共有・授受システムとの間でWEB-APIで自動連係させる。これにより、メール添付ファイル取り込みの手間を18分の1以下に、外部とのファイル授受の手間も4分の1に、さらにVDIを使った面倒なファイルの移動や無害化は不要となります。
無害化した添付ファイルを再添付する「再添付型」、原本のファイルが必要な場合は「ダウンロードURL型」、ZIP内のファイルを全て自動的に無害化し、再ZIP化してダウンロードするやり方、原本のままマルチスキャンまたは場長承認の上でダウンロードするなど、非常に柔軟な運用が可能です。
外部組織とのファイル受け渡しをスムーズに
外部組織とファイルのやり取りをする場合も多いと思います。従来ならファイル持ち出し処理をしてVDIで移動させ、持ち込み処理をしてオンラインストレージにアップするといった、繁雑な作業が必要です。この場合も、前述のように「Smooth Fileネットワーク分離モデル」と「FastSanitizer」を“内側のドア”として設置し、DMZ領域の「Smooth File6」との間でWEB-API連携させることで、一度もLGWAN接続ネットワークから外に出ることなく、庁外とのファイル送受信が可能になります。
メール無害化システムなりの弱みを、ファイル無害化+ファイル授受システムでカバー、外部組織とのファイル授受とネットワーク分離との相性の悪さを、2つのファイル授受製品でカバーといった具合に、1つのシステムでは解決できない課題も システム同士を連携させる事でカバーできるわけです。システム間の通信は全てWEB-API形式のみで インターネット接続セグメントで通常許可しているものを使用します。そのため、セキュリティレベルを落とさずに利便性の飛躍的向上を実現できる点が最大の強みだと言えます。
3つのフェーズで手厚い支援
当社のシステムは、「アクセシビリティモード」という機能を搭載しています。これは、色覚異常など障害を持つ方々に配慮した機能で、色覚異常でも見分けやすい配色、フォントサイズの変更、音声ブラウザでのアクセスしやすさやなどを実現できるモードです。自治体の障害者法定雇用率2.5%で、障がい者雇用促進法により民間企業より多くの障害者が働く環境ですから、色覚弱者に対応できる仕組みが自治体には必要です。実際に、400を超える自治体・公的団体様にご採用いただいており、大変喜ばれています。
「検討」「導入」「運用」まで、3つのフェーズで手厚い支援を行っている点も、プロットの強みです。検討時は課題のヒアリングやリモートデモンストレーションを実施、導入時は当社エンジニアが、パラメータ設定支援を行い、パラメータ設定完了状態での納品、設置支援を行います。そして運用時に、当社サポートエンジニアが直接支援やチャット、電話、メールでサポートいたします。“純国産”の“ALL自社開発”セキュリティベンダーだからこそ、日本中の自治体様・パートナー様を手厚く支える事が可能なのです。
[参加者とのQ&A] ※一部抜粋
Q:全庁的に導入を考えた場合の“教育体制”についてはどうでしょうか。
A:当社エンジニアが同席させてもらい、運用開始まで支援するほか、勉強会開催などの御要望も承っています。もともと、「誰でも使える」を設計ポリシーにした製品群ですので、自治体職員様から「使い方が分からない」という問い合わせをいただくケースはあまり無いようです。
α、β、β'の導入例と当社製品を活用した対策
全国の自治体に、テレワークの推進とセキュリティのさらなる強靱化が求められている。ただ、EDR導入はあまり進んでおらず、β・β´モデルへの移行を検討しつつも、αモデルの継続利用を現実的な選択肢としている自治体が多いようだ。そうした現状を踏まえ、いずれのモデルの場合でも安全性と利便性の両立を図れる自社製品群を、エムオーテックスの山岸さんが紹介した。
<講師>
山岸 恒之さん
エムオーテックス株式会社 営業本部 営業企画部 部長
プロフィール
2005年にエムオーテックス入社。首都圏エリアを担当する営業部の部長、マーケティング部の部長を務めた後、2021年より現職。自社製品のプロモーション戦略の立案や、新規サービスの企画などを通じて、ビジネスの拡大に日々邁進中。
500団体以上の政府機関・自治体が導入済みの製品
当社は、当社の生産性向上およびセキュリティ対策支援ソリューションである「LanScope An」「LanScope Cat」などを提供しています。テレワークでLanScope Catを活用いただけば、収集した操作ログの分析から業務時間をレポート報告し、画面を見るだけで正しい状況を把握できます。また、内部情報漏えい対策にも有効で、PC操作を記録し、情報セキュリティポリシーに違反する操作があった場合にはユーザーに警告通知し、セキュリティモラルの向上を促します。ウェブアクセス管理では、閲覧だけでなくアップロードやメール送信も制御できるほか、デバイス制御ではシリアルナンバーや利用ユーザーを指定し、柔軟に外部記憶デバイスの利用禁止/許可を設定できます。
また、LanScope Catの外部脅威対策機能である「プロテクトキャット」は、AIを活用した画期的なマルウェア検知手法により、亜種・変異型のマルウェアも99%以上の高精度で検知・隔離し、感染を未然に防ぎます。現在、47都道府県の500団体を超える政府機関・自治体に、LanScope製品を導入いただいております。
リモートワークの必要性がさらに高まる
全国の自治体様が、「ゼロトラスト」「デジタルトランスフォーメーション」「テレワーク・リモートワーク」などのキーワードに対し、何らかの対策をとらなければならない状況のはずです。従来の「ゼロトラスト」は、「インターネット=信頼できない領域」「自社ネットワーク内=信頼できる領域」という考え方でした。しかし今後は、ネットとの境界線でいかに端末を保護するかを重視しながら、クラウドの利便性を享受しつつエンドポイントが自らの身を守る方向への転換が重要です。総務省の令和3年度の自治体DX化予算案のうち8割が「セキュリティ」に充てられています。
昨年、全国規模の緊急事態宣言が発出され、その後も第2波、第3波、現在は第4波という状況の中、職場以外でのテレワークの重要性はさらに高まっています。一方で、IPAが発表した「情報セキュリティ10大脅威 2021」では“外部脅威”が上位にランクインしており、その中でも「テレワーク等のニューノーマルな働き方を狙った攻撃」は初登場で第3位にカウントされています。当社では「Secure Productivity(安全と生産性の両立)」という理念のもと、α・β・β'の全ての環境でのセキュリティ対策と業務システムの利便性向上をご支援いたします。
AI活用で未知のマルウェアも99%排除
ネットワーク分離およびマルウェア対策では、複数の自治体様で「プロテクトキャット」を活用いただいております。次世代型のアンチウイルスソフトの、「BlackBerry Protect」に当社独自の付加価値を付け、LanScope Catの機能の1つとしてOEM提供をしております。定義ファイルを利用しない独自のマルウェア検知手法のため、Microsoft Defenderなどの他のアンチウイルス製品との併用が可能なうえ、クライアントプログラムの更新頻度は半年に1回程度であり、管理者の更新作業の負担を大幅に削減できます。
プロテクトキャットはマシンラーニングの特許技術を活用した“予測脅威防御”という手法で、未知の脅威も99%以上の高精度で検知できます。正常なファイルとマルウェアを10億以上収集し、クラウド上のAIに学習させます。1ファイル当たり700万以上の特徴点を抽出し、各ファイルのマルウェア“らしさ”を数値化、数学者やアナリストのチューニング後、膨大なノウハウを反映した数理モデルを作成するわけです。
様々なマルウェアを分析した膨大なデータを活用するので 「亜種」「変異型」に圧倒的に強い点が大きなポイントです。
この強力なアンチウイルス機能と組み合わせたEDR機能も用意しています。分散型モデルによるイベント情報収集、根本原因分析による侵入経路特定、隠れた脅威の発見、脅威の封じ込めによる被害の最小化、端末挙動からの動的な脅威検知と対処などが実現できます。なお、EDRを含むプロテクトキャットのシステム構成は以下の図の通りです。
自治体様での導入事例は、当社ホームページに四国中央市様や山梨県庁様などの事例を掲載しておりますので、是非ご覧下さい。プロテクトキャット(BlackBerry Protect)の体験キャンペーンも実施中で、マルウェア検知結果のサマリーレポートもご提供いたしますので、ご検討ください。
[参加者とのQ&A] ※一部抜粋
Q:βモデル、β'モデルを採用する際、特に気をつけるべきポイントを教えてください。
A:β’モデルを採用される場合には、今までにない新しい製品の導入が必要になってくるため、課題の洗い出しと計画作りが重要と伺っております。特に次世代アンチウイルス・EDRについては、導入後に無理なく有効活用できる運用設計が求められます。すでに複数の自治体様で、次世代アンチウイルス・EDRとして弊社のプロテクトキャット(BlackBerry Protect)をご採用いただいておりますので、ご興味をお持ちいただけましたらぜひご相談ください。
規模別!メール・ファイル無害化の推奨構成
庁内はもちろん、外部との連絡などもメールで行うケースが増えていることで、メール無害化の重要性は急速に高まっている。ただ、セキュリティ重視に偏ったシステムは、必要な添付ファイルの利活用時などに業務の煩雑化を招くことになる。安全性と業務効率改善の両立を目指すシステム構築について、クオリティア営業本部の辻村さんが提言する。
<講師>
辻村 安徳さん
株式会社クオリティア
営業本部フィールドセールス部 部長
プロフィール
2002年日系IT商社へ入社。メールアプライアンスやメールセキュリティなどのメーカーを経て2016年より現職。一貫してメール業界に身を置き、全国の自治体・大学から企業まで幅広くユーザーとの会話を大切にし、その中から市場を分析・予見し、開発に反映させる。安全性と利便性にこだわったユーザー目線の提案が強み。
無害化ソリューションとCDRとの連携
当社を簡単に説明すると“メール屋”です。自治体の皆様には「Active! mail」「DEEPMail」「Active! zone」などのソリューションを提供し、約400カ所の自治体様に採用していただきました。
今回は最新のご提案構成例を紹介します。1つ目は、ファイル交換用サーバでCDR(サニタイズ)エンジンを使っている既納の自治体様から、そのエンジンと同レベルのメール処理ができないか……というお問い合わせに応え、既存の構成に皆様がお使いのCDRを連携させ、メールの添付ファイル無害化に活用する方法です。構成の概要は下記の図の通りです。
自治体規模別に考える最適なシステム構成
自治体様の規模別メールソリューションについて紹介したいと思います。まず1つ目は大規模ユーザー様向けには以下の図のように、Active! mail、DEEPMail、Active! zoneと、CDRエンジン、さらにアンチスパム「Active! hunter」までフル連携させた状態で、複数のLGWAN系に送るやり方で、都道府県のセキュリティクラウドの担当者様に、ご検討いただきたいやりかたです。
今後は、アウトバウンドメールも重要です。ただ、LGWAN系とインターネット系それぞれにアウトバウンドメール用の誤送信防止製品を入れると予算が追いつかないケースも考えられます。当社は「Active! gate」という、メールの誤送信と情報漏えいを多面的に防止するソリューションを提供しています。前述の構成にこの製品を連携させることで、宛先間違いやファイル付け間違いの抑止、添付ファイルの暗号化とWEBダウンロード、Bcc強制変換による宛先漏えいの防止、独自ポリシーに抵触するメールの送信拒否など、多くの効果が得られます。
2つ目は、政令指定都市や中核市など中規模ユーザー様のうち、αモデルを使用しておられる団体向けご提案構成例です。政令指定都市、中核市レベルであれば、セキュリティクラウドでアンチスパムとウイルス対策くらいまではやっておられるでしょうから、自治体のネットワーク上にはDEEPMail、Active! zoneだけ導入いただき、さらにCDRエンジンまでセットで導入すれば、都道府県のセキュリティクラウドと同レベルの無害化が可能になります。
一方、同じ中規模ユーザー様でもβモデルをご使用の場合、メールサーバ自体の運用がほぼインターネット接続系メインだと思われますが、ここでも、やはりセキュリティを担保するためには日々の運用でのDEEPMail導入に加えActive! zoneや+αの対策を講じておくと安心です。
システム連携で行程を約2分の1に
最後に小規模ユーザー様向けのご提案構成ですが、ここでActive! zoneとファイル交換サーバなどサニタイザーシステムとの連携をご紹介します。町村役場規模の自治体様の場合、Active! zoneでZip圧縮ファイルやパスワード付きファイルなどを削除し、メール本文だけ配送して、メールサーバに原本保存する……というやり方が一般的な構成例となります。ただ、原本保存サーバからファイルを取得するためには、インターネット接続系に端末を切り替え、原本保存用メールサーバにアクセスし、メール検索した後に添付ファイルをダウンロード、ファイル交換用サーバにログイン…など、約11ステップの行程が必要になると思われます。これを約半分に減らすため、サニタイザーシステムと連携を図った構成例が下記の図です。
今後も当社では、メールセキュリティ強靱化と皆様の業務効率改善との両立を図るべき、様々なソリューションを提案したいと考えております。現在、川口弘行合同会社様のサニタイザーシステムと連携しておりますが、今後はさらに多くのファイルサーバメーカーさんと連携を増やしていくべく調整中です。しばらくお待ち頂ければ幸いです。
[参加者とのQ&A] ※一部抜粋
Q:サニタイザーの構築を急いでいますが、保証サービスも一緒にお願いできますか。
A:残念ながら、サニタイザーの構築もしくはその保守については当社では行っておりません。ただ、我々のテクノロジーパートナー様をご紹介することができますので、直接お問合せをいただくことで何らかの解決方法を導き出したいと考えています。
自治体におけるテレワークと情報セキュリティ
総務省が昨年末に公表した「自治体DX推進計画」は、2026年3月までに自治体が推進すべき事項・内容を具体化した「道標」と言える。しかし具体的な取り組みについては、各自治体に委ねられているため、方針を定めきれていない自治体も少なくはないようだ。そうした状況を踏まえ、藤沢市役所情報システム課の大高さんが、「目的と手段」を明確にした上でのテレワークと情報セキュリティについて語った。
<講師>
大高 利夫さん
藤沢市役所総務部
情報システム課 課長補佐
プロフィール
1981年から、住記、税、保健福祉総合システムなどの開発、電子申請・電子入札・地域イントラ・GIS等の導入に従事。2019年3月退職。同年4月から参与、2020年4月から課長補佐として再任用。NISC重要インフラ専門調査会等、内閣官房、総務省、消防庁などの委員に従事。現在、総務省地域情報化アドバイザー、消防庁災害情報伝達手段に関するアドバイザー。2016年情報セキュリティ文化賞受賞。
自治体におけるテレワークについて考える
テレワークは「働き方改革」の切り札であるほか、行政サービスの向上が期待されるとともに、新型コロナウイルス対策においても感染拡大を抑える有効な手段だと言えます。テレワークについて最初に考えるべきなのは、テレワークを実施する「目的」です。何のためにテレワークをやるのか……という、目的が欠落しているように思えます。窓口業務や施設管理、保育園、用務員、道路パトロールやゴミ収集などの業務は、テレワークできないと考えがちです。しかし、年休取得や病欠時のように、職場のローテーションを工夫すれば「テレワークできない」と決めつける必要はないのではないかと思っています。
昨春の緊急事態宣言下、同時感染を防ぐ対策として交代勤務が推奨されました。職場で感染者が発生し、濃厚接触者が全員出勤できなくなると、その職場が停止してしまいます。それを防ぐために、在宅勤務や休暇取得の促進、自転車やバイク通勤の許可、会議室などでの勤務する、食事場所の分離などの取り組みが求められました。新型コロナ禍の中、特に緊急事態宣言時における在宅勤務は、事務の効率化ではなくBCPとしての行動であったというのは間違いないでしょう。
セキュリティに配慮したテレワーク環境は、従来のαモデルでも、新しいβ、β'モデルでも構築可能だと思います。その中で、印刷やデータ・ファイルの保存場所、のぞき見防止対策、インターネット環境への配慮、盗難・紛失への配慮、WEB会議やSNSなどコミュニケーションツールを利用する際は、盗聴などの可能性も考えて発言内容と資料共有に配慮することなどが重要です。
情報セキュリティポリシーガイドライン改定について
自治体における情報セキュリティポリシーは、その組織の「ルールブック」です。ルールブックを読んだことがない職員もいるかもしれませんが、自治体職員は、自分たちの情報セキュリティポリシーを理解して日常の業務を行わなければいけません。もちろん職員だけではなく、委託先など関係者全員に周知することが必要です。
昨年末に出された「セキュリティポリシーに関するガイドライン」および 「情報セキュリティ監査に関するガイドライン」の改訂は、私としては注目すべき内容だと考えています。情報システム機器の廃棄等におけるセキュリティ確保、庁内無線LANに関するセキュリティ要件など、それまでに出された通知が改めて載せられており、特に「情報システム全体の強靭性向上」は業務の効率性・利便性の観点を踏まえ、
(1)マイナンバー利用事務系はほかの領域との通信をできないようにし、端末からの情報持ち出し不可設定や端末への多要素認証の導入で情報流出を防ぐ。
(2)LGWAN接続系はインターネット接続系システムとの通信経路を分割し、両システム間で通信する場合には、無害化通信を実施する。
(3)インターネット接続系は不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。都道府県と市区町村のインターネット接続口との通信を集約した上で、自治体情報セキュリティクラウドの導入等を実施する。
以上の3段階の対策を講じることを明言しています。これを踏まえ各自治体では、USBメモリなど外部記録媒体の取扱いに関する利用手順、支給端末以外のPCやモバイル端末を業務利用する際の規則などを策定しなければなりません。
何のためにβ、β'モデルを採用するのか
業務の効率性・利便性の向上を図るため、β、β’モデルの導入を検討する自治体が増えているようです。いずれのモデルでも、目的のために手段を検討し、必要なネットワークを構築することが大切です。テレワークもクラウドも、インターネット経由ではなくても活用できます。「何のために」という本来の目的が大切なのです。セキュリティ対策も、脅威に対する有効な手段を選択することが重要で、情報資産に対するリスクアセスメントが必要です。特に、β、β'モデルにおいては、インターネット接続系に配置する情報の重要性を踏まえ、各端末でのセキュリティ対策や不正な挙動等を検知し、早期対処する仕組みを構築する必要があります。
これからの自治体ネットワークが、どのように進展するかは予想困難ですが、「面倒くさいから」という理由で、安易にインターネット環境で仕事を行うのは避けねばなりません。リスクの認識と対策、明確な目的、データの置き場所が大切です。「情報セキュリティポリシーガイドライン」の改定に伴い、各自治体でも保有する情報資産に応じてリスクを認識し、必要なセキュリティ対策を考え、実現可能な新しいネットワークを構築せねばなりません。行政が変わらなければ実現できません。一緒に、頑張りましょう。そして、セキュリティに配慮した「誰一人取り残さないデジタル社会の実現」を目指しましょう。
[参加者とのQ&A] ※一部抜粋
Q:テレワークを進めたいものの、担当窓口が複数あってなかなか捗りません。進め方のアドバイスをお願いします。
A:「目的と手段」という話をしましたが、まずは本当にテレワーク導入の必要性を感じている部署が率先導入し、その上で環境を整えるルールをつくってはどうでしょうか。最初から全面導入を考えるのではなく、「何のためにやるのか」が明確な部署が課題を抽出し、その課題を解決してから、最終的にどこが窓口になるのかを決めることが大事だと思います。
お問い合わせ
ジチタイワークス セミナー運営事務局
TEL:092-716-1480
E-mail:seminar@jichitai.works