2016年1月号Vol.101

【インタビュー】マイナンバー時代の情報セキュリティー

──新たな発想が求められる

総務省 最高情報セキュリティアドバイザー 三輪信雄氏 / 聞き手 本誌編集委員 松下邦彦

昨今、情報セキュリティーを脅かす事件が数多く発生し、マイナンバーの利用開始を前に個人情報の漏えいに対する社会の不安感が高まっている 。こうした事態を踏まえ、総務省は「自治体情報セキュリティ対策検討チーム」を設置し、すべての自治体の対策強化に乗り出した。いま、市区町村がすべきことは何か、総務省最高情報セキュリティアドバイザーの三輪信雄氏に聞く。

三輪信雄(みわ・のぶお)

三輪信雄(みわ・のぶお)
1961年生まれ。同志社大学工学部工学科卒。株式会社ラック社長などを経て、2008年にS&Jコンサルティング株式会社を発足し代表取締役に就任。現在、コンサルタントとして活動する傍ら、数多くの政府系委員等を歴任。2010年より現職。

──2015年7月に、「自治体情報 セキュリティ対策検討チーム」(座長・ 佐々木良一東京電機大学教授/内閣官房サイバーセキュリティ補佐官)が設置され、 11月に最終報告を公表しました。

三輪 10月にマイナンバー制度が施行され、2017年7月からは情報連携がスタートし、国と地方で特定個人情報がやり取りされるようになります。これにより、どこか1カ所でも情報セキュリティーレベルの低い自治体があると全体が危機にさらされてしまいます。昨今の「サイバー攻撃」は巧妙さを増し、また2014年には「内部からの攻撃」により推計で約2895万件に及ぶ顧客情報が外部流出するなど、官民を問わず情報流出の被害が相次いでいます。万一、こうした被害により自治体の業務や機能が停止・低下した場合、住民生活や社会・経済活動にも多大な影響を与えることから、情報セキュリティー対策の抜本的改革が急務といえます。

 「自治体情報セキュリティ対策検討チーム」は数カ月にわたる検討を経て、11月14日『新たな自治体情報セキュリティ対策の抜本的強化に向けて』をまとめました。ここでは、①『標的型攻撃に係るインシデント(※)初動マニュアル』の策定、②インシデント発生時における内閣サイバーセキュリティセンターまでの連絡ルートの再構築(多重化)、③自治体の緊急時対応計画 の見直しと訓練の徹底、④「自治体情報セキュリティ支援プラットフォーム」の構築──などを行ったことが報告されています。

※インシデント=事業運営を危うくする確率、および情報セキュリティーを脅かす確率が高いもののこと

ポイントは情報漏えいの徹底防止

──『新たな自治体情報セキュリティ対策の抜本的強化に向けて』について、教えてください。

三輪 情報漏えいのリスクを回避し、業務においてマイナンバーを安全に利用するために最も効果的なのは、マイナンバーとインターネットの環境を完全に分離することです。つながっていなければ攻撃を受けることもありませんからね。至ってシンプルな方法ですが、「ネットワークの分離」という考え方は金融機関以外にはまだほとんど国内で浸透していません。その点で今回の取り組みは民間企業の先を行くものであり、今後のトレンドになっていくだろうと考えています。

 制度開始に合わせて、すでに全団体がインターネットと既存住基システムとの分離を完了しました。抜本的強化では、さらに情報提供ネットワークシステムの稼働を見据えて、①マイナンバー利用事務については、原則として他の領域との通信ができないようにする、②財務会計などLGWANを利用する業務システムとWeb閲覧・インターネットメールなどの通信経路を分割する──ことを求めています。

 その一例として、「自治体情報システム強靭性向上モデル」を示しました。これはネットワークの分離に加え、「マイナンバー利用事務への二要素認証の導入」「端末からのデータ持ち出しの不可設定」などを図り、住民情報の漏えいを徹底して防止するというものです。市区町村においては、この考え方を十分理解して対策を講じることが求められます。

──加えて抜本的強化では、もう一つ「自治体情報セキュリティクラウド」の構築にも言及されています。

三輪 これまで情報セキュリティー対策は自治体個々の判断に任せられていましたが、その結果、対策レベルに大きな差が生じています。背景には専門知識を持つ人材の不足に加え、専門外であるシステムベンダーも具体的な提案をしてこなかったことがあります。また、新たな投資が抑制される中で、業務システムとは違って住民サービスの向上や業務の効率化に直結しない情報セキュリティー対策へ十分なコストをかけることに対して、なかなか理解を得られなかったことも挙げられます。そのため、多くの場合はウイルス対策ソフトやファイアウォールなどの入口対策が中心でした。

 そこで、都道府県と市区町村が協力して「自治体情報セキュリティクラウド」を構築し、市区町村のインターネットへの出入口を一つに集約することで、高度な情報セキュリティー対策を講じるものです。全てを守ろうとすれば現状では人員もコストも足りませんが、守るべき範囲を極小化することで個々のコスト負担をできるだけ抑えながら、監視水準の底上げと強固なセキュリティー対策の運用が可能となります。また、都道府県と市区町村が連携することにより、セキュリティーインシデント事例の共有化も図られるようになるでしょう。

セキュリティー対策強化で当たらに求められる庁内システムのイメージ

リスクをゼロにすることは不可能

──意識の切り替えが必要ですね。

三輪 自治体ではICTの進展を背景に、近年、電子行政サービスの拡大などを積極的に進めるとともに、コスト削減にも努めてきました。いまやインターネットは仕事でも欠かせない存在となっていますよね。そうした中で、情報セキュリティー対策への投資も拡大しています。また、ネットワークの分離を求めることはある意味、時代の流れに逆行しているともいえます。そのため現場では混乱もあるでしょう。

 しかし、一つのパソコンでインターネットを活用しながら、マイナンバーを業務上安全に扱えるセキュリティーを確保することは不可能です。潤沢なコストをかけて最新鋭のソリューションを揃えても、完璧な対策はありえません。新たな脅威が日々発生する中で、リスクをゼロにすることはできないということを理解すべきでしょう。

 インフルエンザを思い浮かべてください。うがいや手洗い、マスクで予防しても感染を防ぐことはできません。有効なのは、人混みや繁華街など人が集まる場所への外出を控えることです。ネットワークも同じです。ネットワークの分離により、日々の業務で複数台のパソコンを使い分けるなど不便さはあると思いますが、情報漏えいを起こさないためにはやむを得ないことです。被害を最小限に抑えるには、考え方を根本から変える必要がありますね。

──なるほど。

本誌編集委員 松下邦彦

本誌編集委員 松下邦彦

三輪 これからの情報セキュリティー対策は、リスクをゼロにできないことを前提に「リスクを管理する」ことがポイントになります。そのため、まずは情報漏えい事故につながりかねない〝残存リスク〞を理解し、セキュリティーの確保へ物理的・技術的な対策だけでなく、組織的・人的な対策も含めて体系的に取り組めるスキルを持った職員の育成が欠かせません。

 その上で、万一の場合にも最低限の業務が継続できる環境を整備する必要があります。多くの自治体が「緊急時対応計画」を未だ策定していませんが、この策定や内容の見直しが急務です。その点ではセキュリティーインシデントの共有や、先進団体の事例に学ぶことも重要でしょう。また、研修や監査を通じて組織全体で意識の向上とルールの徹底を図る必要もあると思います。

 なお、自治体情報セキュリティ支援プラットフォームでは、初動マニュアルを提示しているほか、「質問コーナー」も用意していますので、ぜひ有効に活用していただきたいと思います。情報セキュリティー事故は実際にわが身に起こるまで、なかなかその大変さが分かりません。しかし、マイナンバーを含む情報の漏えいは絶対に起こしてはならない。セキュリティーは永遠の課題であり、これで終わりということはありません。重要インフラを守り、社会全体で安全・安心・便利にマイナンバーを活用できるよう、全力で取り組んでいただくことを願っています。

※掲載の内容、および当社製品の機能、サービス内容などは、取材当時のものです。

※掲載団体様への直接のお問い合わせはご遠慮くださいますようお願いいたします。

  • お客様の声
  • TKCインターネットサービスセンター「TISC」のご紹介