2021年1月号Vol.121

【トレンドビュー】情報セキュリティポリシーに関するガイドライン改定のポイント

総務省自治行政局地域力創造グループ地域情報政策室 課長補佐 安達 哲朗

 総務省では、2015年の日本年金機構における個人情報流出事案を受けて、自治体に対して、いわゆる「三層の対策」を講じるよう要請を行いました。これにより、インシデント数の大幅な減少を実現した一方で、自治体からは、ユーザビリティーへの影響を指摘する声があり、さらに、政府における「クラウド・バイ・デフォルト原則」などを受けたクラウド化、デジタル手続法の成立による行政手続きのオンライン化、働き方改革や業務継続のためのテレワークなど、新たな時代の要請が日々増大しています。
 そこで総務省では、19年12月から「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」(以下、検討会)を開催し、20年5月22日に検討結果の取りまとめとして『自治体情報セキュリティ対策の見直しについて』を公表しました。このたび、当該取りまとめに基づき、『地方公共団体における情報セキュリティポリシーに関するガイドライン』(以下、ガイドライン)を改定します。本稿では、主な改定のポイントについて解説します。

1.マイナンバー利用事務系の分離の見直し

 これまで、マイナンバー利用事務系と外部との通信の必要がある場合、特定通信を行う外部接続先も、インターネット等と接続してはならないとしていました。
 今回の改定では、今後のオンライン手続きの増加などを見据えて、円滑に業務を遂行できる仕組みを構築するため、国等の公的機関が構築したシステムなど、十分に安全性が確保された外部接続先(例:eLTAX、ぴったりサービス)に限り、インターネット経由の申請等のデータの電子的移送を可能とし、その際に必要なセキュリティー対策を記載することとしています。
 具体的には、①外部接続先とは連携サーバを介して通信を行い、マイナンバー利用事務系へのデータを転送すること、②ファイアウォールや連携サーバにより外部接続先との通信を制限(FQDN指定)し、通信先を限定すること、③マイナンバー利用事務系のサーバ・端末にウイルス対策ソフトを導入し、最新の定義ファイルを常時更新すること──などを求めています。

2.無害化通信の見直し

無害化における複数の対策の組み合わせ(多層防御)のイメージ

 現行のガイドラインでは、「ファイル無害化」の手法としてサニタイズ処理等が示されていますが、今回新たな手法を追加するなど見直しを行います。
 具体的には、インターネット接続系において内容を目視で確認するとともに、サンドボックス、振る舞い検知、EDRといった未知の不正プログラムの検知およびその実行を防止する機能を有するソフトウェアなどで、危険因子が含まれていないことを確認する手法を追記することとします。
 また、複数の対策を組み合わせて導入することで、対策の有効性をより一層高めることが可能となることから、複数の手法による対策を推奨します。
 さらに、これらの手法を実施した場合であっても、マルウェア等の除去が完全に保証されるものではないため、LGWAN接続系においても、OS等の修正プログラムの適時適用、アプリケーションホワイトリストの設定などの対策を行うことにより、マルウェア等の感染拡大の防止を図ります。

3.LGWAN接続系とインターネット接続系の分割の見直し

 効率性・利便性向上の観点から、特にLGWAN接続系とインターネット接続系との分割に関して課題があることが指摘されており、一部の自治体においては、インターネット接続系に業務端末・システムを配置するモデルが既に導入・検討されている状況です。
 このため、今回の改定では、業務端末および人事給与、財務会計などの内部管理系のシステムをLGWAN接続系に配置する従来型の強靭化モデルに加え、効率性・利便性の高い新たなモデルとして、インターネット接続系に主たる業務端末・システムを配置する〈βモデル〉を提示しています。
 ただし、βモデルの採用には、未知の不正プログラム対策(エンドポイント対策)、業務システムのログ管理などの技術的対策や、CSIRTなどの緊急時即応体制の整備、研修の受講等による個々の職員のリテラシー向上などの組織的・人的対策の確実な実施、その実施について外部による確認・監査を実施することを条件としています。

◇   ◇   ◇

今回の改定では、既述の内容に加えて、クラウドサービスの利用、LGWAN接続系のリモートアクセス・無線LANの利用、情報の機密性に応じた情報資産および機器の廃棄等について、検討会において整理した内容を記載しています。
 加えて、『政府機関等の情報セキュリティ対策のための統一基準』の18年7月の改定を踏まえた内容を追記することとしています。
 なお、ガイドラインの改定に合わせて、『地方公共団体における情報セキュリティ監査に関するガイドライン』の改定も行っています。最新情報については、総務省のホームページでご確認ください。

※掲載の内容、および当社製品の機能、サービス内容などは、取材当時のものです。

※掲載団体様への直接のお問い合わせはご遠慮くださいますようお願いいたします。

  • お客様の声
  • TKCインターネットサービスセンター「TISC」のご紹介