地方自治体のシステムにおける情報セキュリティ「三層の対策」について

こんにちは。土居です。

本日は、地方自治体システムの情報セキュリティ対策を考える際の基本的な考え方である「三層の対策」について、まとめてみたいと思います。

三層の対策とは

まず「三層」とは、「マイナンバー利用事務系」、「LGWAN接続系」、「インターネット接続系」の３つを指します。以下にそれぞれ説明します。

マイナンバー利用事務系

マイナンバー（個人番号）を利用する情報システム、またはそこで扱うデータを指します。戸籍、地方税、社会保障に関わるシステムがこの系統に属します。
ここで扱われるデータには機微な情報も含まれ、最もセキュリティに注意が必要な系統となります。
そもそもこの三層の対策が取り組まれたのも、この系統に属するデータの漏洩があったことが契機となっています。こちらについては後でも触れたいと思います。

LGWAN接続系

LGWAN(総合行政ネットワーク※)に接続する情報システムまたはそこで扱うデータのうち、先述のマイナンバー利用事務系を除くものを指します。
地方自治体間で相互に接続されているため、ある自治体で何らかのIT障害が発生した場合、発生源でない自治体にまで障害が波及する恐れがあります。

※地方自治体の庁内ネットワークを相互に接続し、地方自治体間の情報共有とコミュニケーションを図るためのネットワーク。

インターネット接続系

メールやWebシステムなど、インターネットに接続された情報システムまたはそこで扱うデータを指します。
自治体外の組織とのコミュニケーションや、最新の情報の取得など、インターネットの利用は業務には欠かせない一方で、様々な脅威の影響を受けます。

これら３つの系統（三層）を適切に分離し、個別の対策を実施することが三層の対策（三層の構え）になります。

具体的な対策

ネットワークの分離

マイナンバー利用事務系は扱う情報の性質から、徹底的な対策が求められます。原則※として他の系統との通信できないようにネットワークを分離します。

LGWAN接続系とインターネット接続系については、通信は許可されますが、無害化通信（テキストデータのみの転送、画面の転送、危険因子を除去しての送信等）が必須となります。

※公的機関が構築した特定のシステムのみ、LGWANを経由した通信が認められている。

情報持ち出し対策

マイナンバー利用事務系においては、全ての端末にUSBメモリ等の電磁記録媒体による情報持ち出しを不可とする設定が必須になります。また、利用者の認証には多要素認証が必須となります。

歴史的経緯

三層の対策は、平成27年に発生した公的機関の情報漏洩（職員が外部からの不審なメールを開いてしまったことにより、情報システムへの不正アクセスが発生し、約125万件の個人情報が流出した）を発端に総務省が要請し、実施されました。マイナンバー制度開始を控え、個人情報の取り扱いに関する制度の見直しが図られる矢先の事案でした。

三層の対策の今後

平成29年に三層の対策が完了してから数年が経過し、以下の理由から抜本的な見直しが求められています。

• 地方自治体内のSaaSの利用ニーズ増加
• マイナンバー利用事務系とLGWAN接続系の画面転送を許可の要望増加
• 昨今、ゼロトラストアーキテクチャの考え方が重要視されてきていることによる、動的アクセス制御技術等を活用した新たな対策の必要性
• プログラム処理の問題による個人情報漏洩の発生（令和５年のコンビニ交付サービスにおける別人の公的証明書の交付）

また、これらを含めた新しい対策への移行は、職員のセキュリティ意識や多くの技術力のある人員が必要となるため、都道府県・政令市と中核市以下では現実性に大きな差があるのが実情です。

利便性の向上とセキュリティはトレードオフな部分が多く、いずれも慎重な検討が必要となりそうです。

まとめ

「三層の対策」は地方自治体のシステムの環境構築において必ず要件に含まれます。三層を分離すること自体は技術があれば十分実装できると思いますが、なぜ分離しなければならないかをよく理解しておくことで、より適切な判断ができるのではないかと思います。

どいけん