地方自治体の情報システムを強靭化する国産の情報セキュリティ対策ソリューション
「地方公共団体における情報セキュリティポリシーに関するガイドライン」への対応
背景
地方自治体は、総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン」に基づき情報セキュリティポリシーを策定し、情報セキュリティ対策を講じる必要があります。2015 年に発生した、日本年金機構における大規模な個人情報漏えいを発端に、政府は「自治体情報セキュリティ対策検討チーム」を発足し、2015 年 12 月に地方自治体に対し「三層の対策」と呼ばれる従来の情報セキュリティ対策を強化するように要請しました。
「三層の対策」
三層の対策とは、地方自治体の情報システムを「マイナンバー利用事務系」「LGWAN 接続系」「インターネット接続系」の 3 つに分離することです。地方自治体は、三層の対策を進めると同時に、都道府県及び市区町村が協力してインターネット接続を集約し、インターネット接続系において高度な情報セキュリティ対策を実施する「自治体情報セキュリティクラウド」の構築が求められています。
2020 年 5 月には「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」において、「三層の対策」の見直しの検討がなされ、具体的な施策として効率性・利便性の向上とセキュリティの確保の両立を実現することを目指しており、2021 年度末までにガイドラインの改定版が公表される予定です。
地方公共団体における情報セキュリティポリシーに関するガイドライン改定のポイント
自治体情報セキュリティクラウドおよびインターネット接続系システムの構築・運用においては、システム監視、バックアップ、脆弱性情報の入手と対応、ホームページの暗号化と実在性認証、ウェブアプリケーションやネットワークにおける脆弱性診断、ウェブアプリケーションの脅威からの保護、マイナンバー利用事務系では個人番号にアクセスできる端末の制限やテレワーク端末の制限など広範囲な対策が必要になります。
地方公共団体における情報セキュリティポリシーに関するガイドラインの改定ポイントは以下となります。
| マイナンバー利用事務系の分離 | 住民情報の流出を徹底して防止する観点から他の領域との分離は維持しつつ、国が認めた特定通信(例:eLTAX、ぴったりサービス)に限り、インターネット経由の申請等のデータの電子的移送を可能とし、ユーザービリティの向上や行政手続のオンライン化に対応する。 |
|---|---|
| LGWAN 接続系とインターネット接続系の分離 | 効率性・利便性の高いモデルとして、インターネット接続系に業務端末・システムを配置した「新たなモデル」を提示しています。ただし、地方自治体によっては対応可能なセキュリティ対策レベルには差があることから、「新たなモデル」の採用にあたっては情報資産単位でのアクセス制御、監視体制や CSIRT など緊急時即応体制の整備、職員のリテラシー向上など人的セキュリティ対策の実施が条件となります。 |
| リモートアクセスのセキュリティ | 業務で取り扱う情報の重要性に合わせて、LGWAN 接続系のテレワークについての基本的な考え方、リスク及びセキュリティ要件とともに、想定されるモデルが記載されています。 |
| LGWAN 接続系における庁内無線 LAN の利用 | LGWAN 接続系において庁内無線 LAN を利用する場合のセキュリティ要件が記載されています。 |
| 情報資産及び機器の廃棄 | 神奈川県における HDD 流出事案を踏まえ、情報システム機器の廃棄等について、情報の機密性に応じた適切な手法等が整理されています。 |
| クラウドサービスの利用 | クラウドサービスを利用するにあたっての注意点(サービスレベルの検討の必要性、バックアップを含めた必要なサービスレベルを保証させる契約締結等)が記載されています。 |
| 研修、人材育成 | 各自治体の情報セキュリティ体制・インシデント即応体制の強化について記載されています。 |
自治体情報セキュリティクラウドの機能要件
改定される「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、自治体情報セキュリティクラウドの機能要件として 29 項目を提示しています。サイバートラストは、このうち「サーバーの監視」「Web アプリケーションの防御」「ログ収集、イベント監視」「インシデント予防のための脆弱性管理」や「バックアップとリストア」などに対応したソリューションを提供しています。また、地方自治体のホームページの実在性を証明するためのサーバー証明書「SureServer Prime」、電子署名や公的個人認証を実現するトラストサービス「iTrust(アイトラスト)」、情報セキュリティクラウドを実現するうえで不可欠な Linux OS「MIRACLE LINUX」、などをはじめ、自治体情報セキュリティクラウドの機能要件をご支援するさまざまなサービスを提供しています。
サイバートラスト 自治体情報セキュリティ対策ソリューション
サイバートラストは、自治体情報セキュリティクラウドの機能要件に対応するさまざまなソリューションを提供しています。また、システム構築の際のセキュリティポリシーの策定やセキュリティ教育など「三層の対策」によるセキュリティ強化を実現します。
システムのログ収集・分析、イベント監視|「MIRACLE ZBX」
セキュリティ基準の国際標準となりつつある米国標準技術研究所(NIST)のセキュリティガイドライン「NIST SP800-171」および「NIST SP800-53」の要件に準拠する、統合システム監視ソフトウェア「MIRACLE ZBX」は、豊富なシステム監視機能が「オールインワン」で提供しています。
監視対象の数に依存しないサポート価格体系のため、初期費用も運用費用も大幅削減が可能です。Linux OS ベンダーとして培った高い技術力によるソースコード解析をサポートの基本としており、最長 10 年間の長期サポートを提供しています。
システム・サービス構成管理、脆弱性情報の入手と該当製品への対応|「MIRACLE Vul Hammer」
ソフトウェアの脆弱性管理を自動化・効率化する脆弱性管理ソリューション「MIRACLE Vul Hammer」は、Linux ディストリビューションの知見を活かした OSS の高精度スキャンなどにより、脆弱性管理情報の一元管理と脆弱なソフトウェア対策のタイムリーな対応を可能にします。
また、日本でも注目される米国標準技術研究所(NIST)のセキュリティガイドライン「NIST SP800-171」への対応を支援します。
システムのバックアップとリストア|「MIRACLE System Savior」
MIRACLE System Savior は、サーバーベンダーとの連携を強みとして、企業向けシステムイメージバックアップの要件に基づいて開発されました。最新のサーバーやマルチ OS、仮想化ソフトウェア、およびクラスタソフトウェアへの対応、24 時間サポート、7 年間長期サポートを提供しています。2010 年 3 月の発売以来、災害対策への意識の高まりにより導入拡大が進み、累計で 4,000 ライセンス以上の導入を誇ります。
ウェブサーバーの暗号化と実在性証明|「SureServer Prime」
自治体情報セキュリティクラウドのウェブサービスやホームページにおける通信の暗号化や実在性の証明は非常に重要性が高く、実在性を証明できるサーバー証明書は OV(Organization Validation)もしくは EV(Extended Validation)です。サイバートラストが提供する SureServer Prime シリーズは、クラウド環境に最適なライセンス体系と複数年パックプランを提供しています。複数年パックプランは、契約期間を最長 6 年までとし、長期間の購入でよりお求めやすい価格を実現したメニューです。複数年分(2 ~ 6 年間)の発行権利をもつチケットを一括で購入でき、官公庁や地方公共団体などで複数年の費用を一括で調達する入札案件などのニーズに対応が可能です。
ウェブサーバーセキュリティ対策|「WAF Plus」
サイバートラスト WAF Plus は、ウェブサイト・ウェブアプリケーションを DDoS 攻撃や脆弱性を狙った攻撃から守り、パフォーマンス、信頼性を向上させるサービスを包括的に提供するクラウドサービスです。 WAF のエンジンには実績があり機能的な評価の高い、Imperva 社の App Protect Essentials を利用しており、Webサイト・Web アプリケーションを DDoS 攻撃や脆弱性を狙った攻撃から守り、パフォーマンスや信頼性を向上させるサービスを包括的に提供します。
脆弱性診断サービス|「Web アプリケーション診断/ネットワーク診断/AD ペネトレーションテスト」
サイバートラストでは、経済産業省 「情報セキュリティサービス基準」に準拠した脆弱性診断サービスを提供しています。
Web アプリケーションの脆弱性とは、Web アプリケーションに内在するプログラム上のバグのことを指します。攻撃者はその脆弱性を突き情報の奪取などの攻撃をします。
Web アプリケーション診断は、一般的な Web アプリケーションの脆弱性として知られる「SQL インジェクション」や「クロスサイトスクリプティング」などはもちろんのこと、熟練の知識と豊富な経験によって高められた当社独自の技術を活用し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を徹底的に洗い出します。
ネットワーク診断は、OS やミドルウェアの脆弱性を診断します。リモートによる診断も可能ですが、システムを運用する施設内で実施することでより深い診断が可能です。
ペネトレーションテストとは、実際の攻撃を想定した疑似攻撃を行いシステムに対して侵入を試みることで、脆弱性のチェックをはじめとしたセキュリティ耐性や、あるいは設計上の問題などをテストする手法のことです。Active Directory(AD) ペネトレーションテストは、テクニカル・リスク・ポイントのチェックを通じ、AD の脆弱性やセキュリティ耐性の調査を行います。
二要素認証によるアクセス端末の制限|「サイバートラスト デバイスID」「サイバートラスト マネージドPKI」「サイバートラスト パーソナル ID」
三層の対策の見直しでは、マイナンバー利用事務系で利用する端末やテレワーク環境の端末には、二要素認証および情報持出不可設定が定義されています。
サイバートラストでは、組織が許可した端末のみが情報にアクセスすることが可能な端末認証サービス「サイバートラスト デバイス ID」やスマートカードログオンをはじめ幅広い用途に利用可能な「サイバートラスト マネージド PKI」などの電子認証局サービスを提供しています。
情報セキュリティポリシー策定とセキュリティ教育|情報セキュリティコンサルティングサービス
「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、情報セキュリティ基本方針、情報セキュリティ対策基準が定義されており、情報セキュリティポリシーの策定や見直しを地方公共団体が組織の実態に応じて、自主的に策定することが明記されています。
サイバートラストでは、情報セキュリティポリシーの策定を支援するコンサルティングサービスをはじめ、ポリシー策定後のセキュリティ教育をご用意しております。
サイバートラストは、自治体情報セキュリティクラウドの機能要件に対応するソリューションを提供しています。地方自治体に求められるセキュリティ対策を国産で安心・堅牢な製品・サービスで支えます。
地方自治体情報セキュリティ対策ソリューション 資料ダウンロード
自治体情報セキュリティクラウドの対策でお困りではないですか? サイバートラストの地方自治体情報セキュリティ対策ソリューションに関する概要をまとめた PDF 資料をご用意いたしました。無料でダウンロードいただけます。
※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきますので、確認メール内の URL をクリックしてください。その後、ご登録のメールアドレスにダウンロード URL をお送りします。
サイバートラストのソリューション お問合せフォーム
本記事をお読みになり、サイバートラストのソリューションにご興味をお持ちになられましたら、是非お問い合わせください。
