2015年に総務省の「自治体情報セキュリティ対策検討チーム」が公開した報告資料をベースに、市区町村のセキュリティ対策について考えます。
2016年1月から、マイナンバーの運用が開始されました。総務省は、マイナンバー情報を取り扱う自治体の情報セキュリティを強化するため、2015年7月に「自治体情報セキュリティ対策検討チーム」を設置し、2015年11月には「新たな自治体情報セキュリティ対策の抜本的強化に向けて」という報告を行っています。
本連載ではこの報告を基に、自治体、特に市区町村で行うべき情報セキュリティ対策(自治体情報システム強靭性向上モデル)を紹介します。報告自体は自治体向けのものですが、民間企業においても十分適用できる内容になっています。個人情報を守るために、自治体や民間企業が行うべきセキュリティ対策は何なのか、詳しく見ていきましょう。
まず、「強靭性向上モデル」の内容を整理します。自治体情報セキュリティ対策検討チームからの提言では、「インターネットのリスクへの対応」として、以下が求められています(図表1)。
このうち、1〜4の内容が、「自治体情報システム強靭性向上モデル」です。4つの内容を整理すると、以下のようになります。
項目 | 概要 | 主な目的 | 具体的な対策の例 | |
---|---|---|---|---|
1 | 持ち出し不可設定 | 端末からの情報持ち出しを不可能にする | 内部犯による情報の持ち出しを防止する | ・市販のデバイス制御のソフトを活用する ・Windowsのグループポリシーなど、OSの機能で制御する |
2 | 二要素認証 | マイナンバー利用事務系の端末にログインする際は、二要素認証をする | 従来に比べて、以下を強化する ・不正な第三者によるなりすましの防止 ・操作した個人の特定 |
・パスワードとICカードによる二要素認証を行う ・パスワードやICカードと、生体認証による二要素認証を行う |
3 | ネットワークの分割 | LGWAN接続系ネットワークを、インターネット接続系ネットワークと分割する | 外部からの攻撃を受ける可能性があるインターネット接続系ネットワークを分離し、LGWAN接続系ネットワークの安全性を保つ | ・LGWAN接続系の端末と、インターネット接続系の端末をそれぞれ用意する ・インターネット接続系の端末を仮想環境で構築し、LGWAN接続系から画面転送により閲覧する |
4 | 通信の無害化 | LGWAN接続系ネットワークとインターネット接続系ネットワーク間の通信を無害化する | ウイルス感染した危険なファイルを、LGWAN接続系ネットワークに持ち込まない | ・メールの添付ファイルを削除する ・HTMLファイルをテキスト化するなど、ファイルの加工処理をする |
図表2 自治体情報システム強靭性向上モデルの内容 |
以下で、これら4つの要件に関して、詳しく解説します。
Copyright © ITmedia, Inc. All Rights Reserved.