![ファイル暗号化DataClasys [データクレシス]](/wp-content/uploads/DataClasys_logo.png){kind=logo}
地方自治法改正案決定、自治体へサイバーセキュリティ強化の方針も
2024年3月1日、政府は地方自治法改正案を閣議決定しました。改正案では大規模災害や感染症まん延などの非常時に国が自治体へ指示ができる仕組みが盛り込まれた他、各自治体へサイバーセキュリティーに関する基本方針の策定と公表を義務付けています。※1
総務省はガイドラインを作成し、各自治体が策定する基本方針に組織体制や具体的な対策の内容などを明確に記載するよう求めることを検討しています。また、既に基本方針を策定済みの自治体にも改めて見直しを促すとのことです。基本方針の策定期限は2026年4月1日とし、策定後はそれに基づいた対策の実施が求められます。※2
自治体で発生するインシデントとは
このような改正の背景には、近年、サイバー攻撃が複雑化・巧妙化していることや、デジタル化やクラウド利活用が進み利便性が向上する一方でセキュリティリスクも増大していることなどが挙げられます。
自治体はマイナンバーに関する個人情報など重大な機微情報を保有しているため、強固なセキュリティ体制の構築が求められます。自治体で発生しがちなインシデントには以下のようなものが考えられます。
- 委託事業者からの漏えい(サイバー攻撃・内部不正・デバイス紛失等)
- メール誤送信などの人的ミス
- 内部犯による持ち出し
- その他
委託事業者からの漏えいに関しては、2023年12月に伊丹市の委託事業者である株式会社Y4.comが利用するシステムがサイバー攻撃を受け、保存されていたファイルが流出するインシデントが発生しています。なお、攻撃手法として「ノーウェアランサム(非暗号型ランサム)」という暗号化しないで情報窃取だけを行うランサムウェアが用いられました。※3
委託先からの漏えいに関しては外部からのサイバー攻撃だけでなく、委託先従業員による漏えいにも警戒する必要があります。この例としては2023年10月に発生したNTT西日本子会社従業員による持ち出しや、2022年6月に起きた尼崎市USB紛失問題などが挙げられます。※4 ※5
また、メール誤送信による情報漏洩も度々ニュースを騒がせます。例えば2023年11月には岡山県が職員3名の個人情報を記したメールを県内外の自治体約60組織に誤送信したことを発表しています。※6
さらに自治体内部の職員による意図的な持ち出しも、数は多くありませんが度々発生しています。これは 2023年9月の土浦市職員による人事評価データの不正入手や、2022年5月の釜石市職員による全市民3万人超のデータ持ち出し事件が代表的な事例となります。※7 ※8
自治体情報システム強靭性向上モデルとは
マイナンバーなど機微な情報の漏えいを防ぐためには、ネットワーク分離による外部からの不正アクセス防止やメール無害化、持ち出し制御などのセキュリティ対策が必須になります。
自治体では「自治体情報システム強靭性向上モデル」に基づき、三層分離によるセキュリティ対策が実施されてきました。これは自治体のネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の三層に分離し、それぞれに適切なシステムや情報資産を配置することで強固なセキュリティ体制を構築するものです。
これはセキュリティの面において効果的でしたが、一方でネットワークが分離されたことによる業務効率や利便性の低下が見られました。そこで、今までの三層分離を「αモデル」とし、これを見直す形で生み出されたのが「βモデル」「β’モデル」です。これは今までLGWAN接続系に配置されていたグループウェアや業務端末の一部をインターネット接続系に配置することで利便性を向上させた新たなモデルになります。
しかし、βモデル、β’モデルを採用するにはインターネット接続系に配置転換した業務端末などのエンドポイントに対して十分なセキュリティ対策を施す必要があります。
IRMでエンドポイントからの漏えい対策を
「地方公共団体における情報セキュリティポリシーに関するガイドライン」には、β’モデルを採用する上で有効な情報漏えい対策として、ファイル暗号化を挙げています。業務端末などに保存されているファイルを暗号化しておくことで、万一ファイルが外部に流出しても解読できず、情報漏えいは発生しません。
しかし、暗号化といってもパスワードのようにファイル閲覧時に都度パスワードの入力が求められるシステムは業務効率に影響があります。そこで弊社がおすすめしているのがIRM(Information Rights Management:情報権限管理)です。IRMで暗号化したファイルは、平文(暗号化していないファイル)と同じようにダブルクリックで閲覧、編集などの操作を行うことが可能なため、業務効率にほとんど影響を与えることがありません。また単に第三者からのファイルアクセスを禁止するだけではなく、アクセスを許可された職員に対しても、復号(暗号化の解除)、印刷、コピー&ペーストなどの漏えいに繋がりかねない操作を制御することが可能です。これにより、外部からのサイバー攻撃だけでなく内部の職員による漏えいも防ぐことが可能です。
弊社が提供する『DataClasys(データクレシス)』は、国産・完全自社開発のIRMソリューションです。インターネット接続系での利用だけでなく、閉塞網にも導入できるため、マイナンバー系に存在する情報資産の保護も可能です。
自治体でのサイバーセキュリティを見直す際は是非ご検討ください。
カタログ・資料ダウンロードはこちら
参考
※1 非常時、国が必要な指示 地方自治法改正案を決定―政府 | JIJI.COM 2024年3月1日
※2 自治体にサイバーセキュリティー強化の基本方針策定と公表を義務付け…法改正案を今国会提出へ | 讀賣新聞オンライン 2024年2月27日
※3 委託事業者による個人情報の流出事案の発生について | 伊丹市 2023年12月27日
※4 NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)|NTTビジネスソリューションズ株式会社 10月17日
※5 個人情報を含むUSBメモリーの紛失について(6月23日)| 尼崎市 2022年6月23日
※6 岡山県が自治体にメール誤送信 職員3人の健康に関する個人情報 | 山陽新聞 2023年11月08日
※7 人事情報を不正収集疑い 土浦市職員を書類送検 | Lucky FM 茨城放送 2023年9月4日
※8 岩手・釜石、全市民3万人の個人情報漏洩 市が2職員告訴 | 日本経済新聞(電子版) 2022年5月26日
※9 地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月版)| 総務省 2022年3月25日
