採用情報

お問い合わせ

BLOG

電子認証局サービス BLOG

改正地方自治法成立!地方公共団体におけるサイバーセキュリティ強化が急務!

改正地方自治法が、2024 年 6 月 19 日の参議院本会議で賛成多数で可決・成立し、DX の進展を踏まえた対応として地方公共団体がサイバー攻撃や情報漏洩防止におけるサイバーセキュリティを強化することが盛り込まれました。

現行法では、基本方針の策定は地方公共団体ごとの判断にゆだね、基本方針の公表義務も定めていませんが、同改正法では総務省がサイバーセキュリティに関するガイドラインを策定し、これを元に地方公共団体ごとに基本方針策定(期限:2026 年 4 月 1 日)と公表を義務付け、既に基本方針を策定済みの地方公共団体に対しても見直しを求めています。

(出典)総務省「 令和5年度 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会における中間報告

今回は、地方公共団体におけるサイバー攻撃対策の一部を、総務省が現在公開しているガイドラインをベースに説明ならびに、今後最新版のガイドラインに盛り込まれる見込みとなる内容について説明します。

VPN の脆弱性を突かれた可能性がある JAXA へのサイバー攻撃

政府機関系へのサイバー攻撃として、直近では宇宙航空研究開発機構(JAXA)が 2023 年から 2024 年にかけてサイバー攻撃を複数回受けたことを政府が明らかにしたばかりです。一部報道では VPN の脆弱性を突いた侵入を起因として認証情報が盗まれ、この盗まれた認証情報を悪用して Microsoft 365 に不正アクセスが行われ、JAXA 職員の個人情報や取引先企業などの機密情報が外部に流出した可能性があるとされています。

地方公共団体向け情報セキュリティガイドラインにおける不正アクセス対策

すでに総務省では、地方公共団体向けに情報セキュリティに関するガイドラインとして、「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公開しており、改正地方自治法に伴うガイドライン策定については本ガイドラインの改定を指しています。
現行のガイドラインにおいても、不正アクセス対策として電子証明書を利用した端末認証や多要素認証 ※1 の必要性について明記されており、前述の JAXA へのサイバー攻撃についても、これらの不正アクセス対策が行なわれていたのであれば被害は限定的であったと考えられます。

(出典)総務省「 地方公共団体における情報セキュリティポリシーに関するガイドライン ( 令和 5 年 3 月版 )

情報資産を取り扱うネットワーク機器の電子証明書を利用したアクセス制御または電子証明書の利用可能な IDaaS ※2 を導入することよって、地方公共団体で管理している端末のみに電子証明書をインストールすることで端末を限定したアクセス制御の環境を実現することができます。

※1
多要素認証 については BLOG:多要素認証(MFA)とは? をご覧ください。
※2
IDaaS については BLOG:IDaaS とは? をご覧ください。

検討が進められている最新版のガイドライン

総務省では 2024 年度中に最新版の「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公開する見込みとしており、認証部分については、ID 管理と認証・認可の機能を持つ IDaaS を地方公共団体で採用する場合には ISMAP 登録もしくは、それに相当する第三者認証を取得しているサービスを認める方向性で議論が行われています。

(出典)総務省「 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会と地方公共団体への意見照会を踏まえた対応

また、現在策定中のガイドラインでは、内部不正への対策が明記される見込みであることと合わせて、ガイドライン内ではデジタル庁が公開している「デジタル社会の実現に向けた重点計画」に記載されているゼロトラストセキュリティについて触れており、最新版のガイドラインにはゼロトラストセキュリティアーキテクチャの導入についてまでは含まれないものの、将来的な導入検討へ含みを持たせているのも特徴であると言えます。

(出典)デジタル庁「 デジタル社会の実現に向けた重点計画

端末を厳格に認証し、安全なネットワークアクセスを実現する「サイバートラスト デバイス ID」とは

「サイバートラスト デバイス ID」の特長

サイバートラスト デバイス ID」は、 端末識別情報(MAC アドレス、IMEI、UDID、シリアル番号、Wi-Fi Mac)を遠隔で確認 した上で管理者が許可した端末に登録します。
そのため、端末識別情報の特定に関する細かなアクセスポリシーの設定を行えないようなご利用環境であっても、厳格な端末認証を実施してクライアント証明書を端末に登録することで、よりセキュアにクライアント認証をご利用いただけます。

デバイス証明書をエクスポート出来ない状態で登録 を行うため、管理者が意図していない管理外の端末で証明書を使われないようにすることが可能です。

「サイバートラスト デバイス ID」は初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能な「サイバートラスト デバイス ID」の導入をぜひご検討ください。
なお、「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。

本記事に関連するリンク
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime