自治体情報セキュリティクラウドとは何か

総務省から発表された「次期自治体情報セキュリティクラウドの標準要件の決定について（令和2年8月18日）」※によると、「自治体情報セキュリティクラウドとは、都道府県と市区町村がWebサーバー等を集約し、監視及びログ分析・解析をはじめ高度なセキュリティ対策を実施するものです。」とあります。

市町村などの地方自治体は、住民の福祉の増進や、地域の企業・団体・市民の活動なども含めた、住民のさまざまな個人情報を取り扱っています。

マイナンバー（個人番号）は中でも重要な個人情報で、マイナンバー制度に伴い、自治体では強固な情報セキュリティ対策が求められるようになりました。

しかし、強固なセキュリティのために、職員の業務効率・利便性の低下が起こるなどの報告があり、また、働き方改革によるテレワークの推進・行政手続きのデジタル化や、サイバー攻撃の高度化などを踏まえて、セキュリティ対策の見直しが求められてきたのです。

そして、セキュリティの強化とともに、膨大なデータを迅速に処理し必要な情報を即座に提供することも求められるようになったため、クラウドコンピューティングの利用が進み、さらにクラウドのためのセキュリティも重要視されるようになりました。

つまり、次期自治体情報セキュリティクラウドの標準要件とは、上記のことをふまえ、自治体で使うクラウドのセキュリティのために気をつけたい標準要件を決めようという取り組みのことなのです。

ここでは、クラウドやクラウドセキュリティについて、また、自治体情報セキュリティクラウドの現状についてなどを、説明していきます。

サイトより引用
※総務省「次期自治体情報セキュリティクラウドの標準要件の決定について（令和2年8月18日）」

そもそも、クラウドとは何か

クラウド（クラウド・コンピューティング）とは、ユーザー側が大規模な設備やシステムを用意しなくても、インターネット上で必要に応じてサービスを利用できる仕組みのことで、個人ユーザーはもちろん、多くの企業や自治をもクラウドを利用しています。

クラウドでは、今まで自分のPCにアプリケーションをインストールしなければ使えなかったものが、インターネットに接続していれば、インターネット上でサービスを利用できるようになっています。

例えば、普段使っているものとして、分かりやすいのがインターネット上で見ることができるメールやSNSなどです。

特別なソフトがなくても、インターネットに繋ぐことができればPC、スマホ、タブレットなどで、そのサイトにアクセスして、ログインできれば、サービスが利用できます。

クラウドセキュリティの意味

クラウドセキュリティとは、情報セキュリティの３要素、可用性、完全性、および機密性に対する攻撃や侵害から、クラウドコンピューティング環境、クラウドで実行されるアプリケーション、クラウドに保存されているデータを保護することです。

クラウド（クラウドコンピューティング）が一般化するにつれて、クラウドのセキュリティに対する意識も高まってきました。

日本でもコロナ禍でクラウドコンピューティングの導入が進み、多くの企業でクラウドコンピューティングが使用されているため、クラウドセキュリティは企業のサイバーセキュリティの極めて重要な部分となっています。

クラウドサービスの提供業者は安全なインフラに関する機能をクラウドとして貸し出すサービス、「クラウドインフラストラクチャ」を提供します。

しかし、大手のクラウドサービス提供会社などは、全てのセキュリティを提供者側が担うのではなく、提供者側と使用者側、それぞれの役割を分けて全体のセキュリティを守る考え方である「責任共有モデル」を採用していますので、ユーザー側もクラウドのセキュリティを守るための対策をしなくてはいけません。

クラウドセキュリティのためにユーザー側がするべきこと

本題から少し外れますが、一般的にクラウドを使用する際に気をつける点をここで述べておきます。

クラウドセキュリティは、ユーザーがどこからインターネットにアクセスしても脅威を防ぎ、クラウド内のデータとアプリケーションを保護することが大切です。

クラウドにあるデータの保護でも、標準的なサイバーセキュリティ対策は有効で、クラウド・コンピューティング環境を外部や内部のサイバーセキュリティの脅威と脆弱性から保護します。そのために注意する点を以下に挙げます。

強力なパスワードで保護する

数字だけの羅列（例：111111、12345678など）や、文字（abcdefg、qwertyなどキーボードをそのまま入力したものや、自分の名前などの分かりやすい単語）などではなく、数字とアルファベットの大文字小文字と特殊文字を組み合わせると、パスワードの解読が難しくなります。

Yを￥、Sを$に変えるなどは分かりやすいため、パスワードに利用しないようにします。また同じパスワードを使い回すことも避けましょう。
・セキュリティソフトを利用し、媒体を保護しましょう。

媒体はもれなく保護する

PC、スマホ、タブレットなど、データを多数のデバイス間で同期している場合、そのいずれかでサイバー攻撃にあった場合、あるいはスマホの紛失などでの情報漏洩は、同期している媒体全体を危険にさらすこともあります。

クラウドデータのアクセスに使用しているデバイスはもれなく保護しましょう。

まめにデータのバックアップを行う

こまめに、かつ、定期的にデータをバックアップして、クラウドプロバイダで問題が発生しても、すぐにデータを復元できるようにしておきましょう。

使用権限を制限

必要に応じて使用権限を制限し、アクセスできる人やデバイスを分けましょう。

パブリックWi-Fiに注意

パブリックWi-Fiで、クラウドのデータにアクセスしないようにしましょう。
クラウドへのゲートウェイを保護するためには、仮装プライベートネットワーク（VPN）などを利用します。

多要素認証

クラウドを利用する際には、指紋などの生体認証データや、パスワードとモバイルデバイスに送信される個別のコードの2要素などの二つ以上の要素で認証を行う、多要素認証（MFA）を利用して、機密性を高めましょう。

使用しなくなったサービスはソフトウェアの停止

ハッカーは、開いたままで休止状態になっている古いアカウントのバックドアをたいへん好みますので、サービスやソフトウェアを使用しなくなった場合は、適切に除去するなど、サービスの管理を徹底しましょう。

自治体セキュリティクラウドの現状

総務省は、令和2年5月22日「自治体情報セキュリティ対策の見直しについて」※1を公表しました。この資料の中に、次期「自治体情報セキュリティクラウド」の在り方についても明記されています。

それによりますと、「自治体情報セキュリティクラウド」を都道府県毎に構築し,
運用を開始した平成 29 年度以降はマルウェアへの感染等は大幅に減少しているが、各自治体情報セキュリティクラウドが、導入している機能や監視を委託されている事業者のレベルに差異があることや調達方式等に非効率な面があること、災害発生時の可用性などに課題があることが指摘されています。

それを踏まえて、2021年に、「次期自治体情報セキュリティクラウドの標準要件の決定について（令和2年8月18日）」※2を公表しました。

さらに、2021年10月22日公表された「地方公共団体における情報セキュリティポリシーに関するガイドライン」改定のポイントについて（案）※3により、外部サービスを利用する際のセキュリティ対策は、選定や契約時における対策だけでなく、契約後の情報システムの導入・構築、その後の運用・保守、更には契約終了時に至るまで情報システムのライフサイクル全般において行う必要があるとして、さらに一歩踏み込んだ機能要件が盛り込まれています。

※1 総務省　次期自治体情報セキュリティクラウドの標準要件の決定について（令和2年8月18日）

※2 総務省　次期自治体情報セキュリティクラウド機能要件一覧

※3 総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」改定案（資料１関係部分抜粋　2021年10月22日 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会）

Industlinkに登録されているサイバーセキュリティのソリューションや企業情報はこちらから

◆企業一覧
◆ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます！この機会に、Industlink Collegeへ登録しませんか？
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら