全国の自治体は、総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン(※)」に基づいて情報セキュリティポリシーを策定し、情報セキュリティ対策を講じています。
2022年(令和4年)3月、ガイドラインが改定されたことに伴い、各自治体においては従来の対策を見直す必要が生じました。
この記事では、見直された自治体の情報セキュリティ対策の改定のポイントをご紹介し、これから自治体のDX化と同時に進める情報セキュリティ対策にPassLogic製品は豊富な導入事例があり有用なソリューションであることを解説します。
ガイドラインが示す自治体における情報セキュリティ対策のあり方
情報システム全体の強靭性の向上
情報システム全体の強靭性向上を図るため、抜本的強化が必要であり、これを実現する「三層の構え」概念が提示されています。
自治体の情報システムネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つのセグメントに分離し、このうち、「マイナンバー利用事務系」情報システム管理者は、マイナンバー利用事務系では「知識」「所持」「存在」を利用する認証手段のうち二つ以上を併用する認証(多要素認証)を行うよう求められています。
PassLogicはこのマイナンバー利用事務系において選択できる認証セキュリティシステムの一つとして挙げられており、これらの取り組みにより自治体での情報セキュリティ対策は大幅に向上されております。
マイナンバー利用事務系と他の領域との分離
他の領域との通信を分離した上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防止します。
情報のアクセス及び持ち出しにおける対策
直近では新型コロナウイルス対策の臨時特別給付金をめぐっては、多くの自治体は兵庫県尼崎市と同じく、業務の一部を外部業者に委託し、窓口を担う委託先は問い合わせを市民から受けることから、住民基本台帳の個人情報を委託先にUSBメモリー等の電磁的記録媒体で提供している場合があります。
多くの自治体では原則としては情報の持ち出しができないように設定しており、持ち出す場合においても適正に管理する等の不正アクセス防止を実施しています。
具体的には
- 端末には利用許可された媒体のみ接続可能とする
- データは暗号化しパスワードを設定する
- 利用媒体は、全て管理し利用履歴を残す
- データの受け渡しには、必ず情報セキュリティ管理者の承認と承認記録を残す
今回 尼崎市で個人情報を含むUSBメモリーを一時紛失した事案 の事例がございますため、改めてガイドラインの再確認の上、対策についてご検討ください。
詳細は後述の「職員等の利用する端末や電磁的記録媒体等の管理」の項をご参照ください。
情報資産の分類と管理
情報資産は、機密性、完全性及び可用性により、分類し、必要に応じ取扱制限を行い、取扱制限においてはパスワード設定が盛り込まれております。PassLogicはパスワード制限がある情報資産にて、安全なログインをサポートし、認証を以て機密性を保持しており、部外者からのなりすましログインから情報資産を保護します。
職員等の利用する端末や電磁的記録媒体等の管理
情報システム管理者は、情報システムへのログインに際し、パスワード、スマートカード、或いは生体認証等複数の認証情報の入力を必要とします。
取り扱う情報の重要度等に応じてPassLogicの多要素認証を行うことによりセキュリティ機能を強化します。
ID及びパスワード等の管理
認証情報は人的な原因により漏えいしやすい情報であるため、情報システム管理者からの認証情報の発行から職員等で管理に至るまで、漏えいリスクをとどめる必要があります。
例えば、認証情報記録した媒体(ICカードなど)の管理が適正に行う必要があります。
また、福岡県小竹町役場では、情報セキュリティ管理者はIDに職員番号、パスワード(初期設定)に職員の誕生日を使用しており、初期パスワードを変更していなかった職員のパスワードを悪用し、不正アクセスを繰り返した事案があります。
PassLogicはデバイスレスのワンタイムパスワードを利用して認証します。物理媒体を保持せず、認証における管理負担は限りなく低く、初回ログイン時には必ず認証パターン設定するため、上記のような事案を回避することができます。
コンピュータ及びネットワークの管理
ネットワークや情報システム等の管理が不十分な場合、不正利用による情報システム等へのサイバー攻撃、情報漏えい、損傷、改ざん、重要情報の詐取、内部不正等の被害が生じるおそれがあります。
具体的には2022年10月、北海道にある自治体の仕事情報発信ホームページのメールマガジン管理サーバに対し、第三者が不正アクセスを行い、サーバに登録されていた個人情報が不正に閲覧され、外部に流出した事例があります。
本ガイドラインでは情報システム等の不正利用を防止し、また不正利用に対する証拠の保全をするために、ログの管理やシステム管理記録の作成、バックアップ、無許可ソフトウェアの導入禁止、機器構成の変更禁止等の技術的なセキュリティ対策を規定しております。
ネットワークの接続制御、経路制御等
不正アクセスを防止するため、ネットワークに適正なアクセス制御を施します。クラウドサービスを利用し、住民情報等の重要な情報を外部のデータセンターとやり取りする場合は、VPN 接続による通信経路の暗号化や本人認証等の高度なセキュリティ対策を実施する必要があります。
PassLogicはこのアクセス制御においては厳格な本人認証を行います。
ソーシャルメディアサービスによる情報発信
情報セキュリティ管理者は、第三者が何らかの方法で不正にログインを行い、偽の情報を発信するなどの不正行為を行う、いわゆる「アカウント乗っ取り」を防止するために、ソーシャルメディアのログインパスワードや認証方法について細心の注意を払う必要があります。
アクセス制御
アクセス権限の制御がない状態は情報資産の不正利用等の被害が発生しますので、アクセス制御を業務内容、権限ごとに明確に規定しておく必要があります。
PassLogicの管理者機能では、不用意なアクセス権限付与による不正アクセスを防ぐために、アクセス権限管理機能が充実しており、利用者登録や特権管理等を用いた情報システムへのアクセス制御、ログイン手順、接続時間の制限等不正なアクセスを防止する手段について規定通りの設定と運用をサポートします。
また、自宅やサテライトオフィス等から遠隔で業務を遂行する形態への対応が求められ、大規模感染症の感染予防対策として、勤務庁舎への出勤が抑制されるような状況下でテレワーク環境の整備が必要となり、その実施に必要な対策についてPassLogicは有効であることを以下解説致します。
認証情報の管理
認証機能を利用するにあたり、認証情報を不正利用から保護する必要があり、オペレーティングシステム等で認証に関する設定のセキュリティ強化を行う必要があります。PassLogicは運用が容易な機能を提供しており、パスワードの使いまわし等を回避し不正アクセスを阻止します。
職員等による外部からのアクセス等の制限
統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対するインターネットを介した外部からのアクセスを原則として禁止し、止むを得ず接続を許可する場合は、利用者の ID、パスワード及び生体認証に係る情報等の認証情報並びにこれを記録した媒体(IC カード等)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じます。この分野においてPassLogicは豊富な導入事例 がございます。
システム開発、導入、保守など
システム開発における責任者、作業者の ID の管理は開発完了後に削除します。
情報システムを調達する場合は、当該情報システムで取り扱う情報の重要性に応じて、情報システムのライフサイクルで必要となるセキュリティ機能を洗い出し、調達要件に含めております。PassLogicは調達要件に定めるサービスは充実しており、導入前及び導入後もパスロジ以外に代理店、販売店ともに充実なサポート網を提供しております。
PassLogicの情報セキュリティ対策
パスロジでは業務で必要となる情報セキュリティ対策強化に関するさまざまなサービスをご提供しています。ぜひ、ご活用をご検討ください。
・セキュリティ&使いやすさを両立!– デバイスレス・ワンタイムパスワード
・不審な端末をアクセスブロック– クライアント証明書認証 –
・[ PassLogic導入事例 ] 三重県庁様
まとめ
自治体システムにおける情報セキュリティ対策は、ガイドラインの改定により、さらなる強化に向けて見直しが求められている最中です。
今後、サイバー攻撃のさらなる巧妙化や、自治体業務へのテレワークの導入など、より高度なセキュリティ対策が必要になるケースも想定されます。情報セキュリティ対策強化に向け、お困りのことがあればぜひパスロジまでお気軽にお問い合わせください。
関連項目・外部リンク
脚注
お問い合わせ
ただいま無料相談会実施中!
多要素認証やセキュリティ対策のお悩み、PassLogic導入で解決しませんか?
無料相談会、30日間無料体験版のお申込み、その他ご質問等はお問い合わせフォームからご連絡ください。