三層分離下において業務効率化に苦慮する地方自治体。「α’モデル」と「ローカルブレイクアウト」による解決法とは

　全国の自治体では、2015年に日本年金機構のサイバー攻撃事件を発端とした「地方公共団体における情報セキュリティポリシーに関するガイドライン 」で示された「自治体情報システム強靭性向上モデル」をもとにシステムを構築、高度な情報セキュリティを実現しています。しかしその一方で、職員の利便性を大幅に低下させてしまうといった弊害も発生。ガイドラインの見直しが求められるようになりました。

　今回の記事では総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン」で提唱した「自治体情報システム強靭性向上モデル」のひとつ「αモデル」が抱える課題のおさらいと、αモデルの課題を解消させるものとして新たに検討されている「α’モデル」について、そしてそのα’モデルを実現するために考えなければいけないことを考察します。

自治体情報システム強靭性向上モデル「三層分離：αモデル」が抱える課題とは

　総務省が2016年に発表した「地方公共団体における情報セキュリティポリシーに関するガイドライン」で示された「自治体情報システム強靭性向上モデル」の中で、情報セキュリティ対策の方針として提唱されているのが「三層分離」です。「三層分離」とは、自治体のネットワークをインターネット接続系ネットワーク、日々の業務を行うLGWAN（総合行政ネットワーク）接続系ネットワーク、住基ネットに接続し、個人情報等を扱うマイナンバー利用事務系ネットワークの3つに分けることで基幹業務をインターネットの脅威から守ります。

　三層分離は高度な情報セキュリティを実現することに成功した一方、現在求められるクラウドシフトに対応が出来ない、といった弊害を生み出しています。インターネット接続系は、各都道府県で取りまとめているため通信経路の確保やアクセス制限の仕組みは各都道府県に自治体情報セキュリティクラウドを提供する事業者に委ねられることになり、自治体側でコントロールできないという懸念もあります。LGWAN環境から利用することも可能ですが、回線帯域も潤沢ではなくWeb会議などのコミュニケーションツールを利用することも難しい状況です。

参考：総務省　地方公共団体における情報セキュリティポリシーに関するガイドライン（令和4年3月版）より抜粋   

αモデルからβ/β’モデルへの移行。進まない背景に新たなコストと運用負荷

　職員の業務効率を損なわない仕組みを作るべくガイドラインの見直しが求められ、総務省は2020年に改訂版を発表。改訂版で示された新たな三層分離モデルは、βモデル、β’モデルと呼ばれます。新たに追加されたβ/β’モデルは、業務端末をインターネット接続系に配置することでクラウドサービスの利用や職員のテレワーク等にも対応できる仕組みとなっています。しかしLGWAN接続系に主な業務端末を配置し、インターネットから隔離するαモデルを採用してきた多くの自治体にとって、β/β’モデルへの移行は新たな情報セキュリティ対策が必要となるなど、新たなコストが必要となります。加えて、ようやく慣れてきたαモデルの運用から新しいモデルへの運用移行、外部監査への対応など、コスト面だけでなく現場への負荷が重くのしかかることも看過できません。こうした課題が足枷となって、αモデルによる利便性の低下や業務環境の煩雑化に課題を感じつつも、β/β’モデルへの移行になかなか踏み出せない自治体がほとんどというのが現状ではないでしょうか。

参考：総務省　地方公共団体における情報セキュリティポリシーに関するガイドライン（令和4年3月版）より抜粋    

αモデル課題解消の鍵は「ローカルブレイクアウト」

　全国の自治体がクラウドシフトに向けた環境対応を模索する中で、LGWANから特定のクラウドサービスへ直接接続を行う、つまりローカルブレイクアウトの構成をとる新たな「α’モデル」が検討されています。この構成が正式に認められれば、Office 365などのクラウドサービスにアクセスする端末とLGWANに接続をする端末を分離せずに業務を行うことができます。β/β’モデルへの移行コストを抑えられることはもちろん、ネットワーク形態の大幅な変更も必要ないため運用部門への負荷も最小限に留めることが可能です。利用する職員にとっても、会議のたびに専用端末を確保することなく業務用端末でWeb会議などのコミュニケーションツールも利用できるなど、メリットが多々あります。

ソリトンシステムズが考える「α’モデル」を安全に実現する手法とは

　導入コストと運用負荷を抑えられ、業務効率化も叶える「α’モデル」はとても魅力的な構成です。しかし、これまでインターネットと基幹業務を分けた三層分離「αモデル」の構成を採用し、安全を担保してきた自治体にとって、直接インターネットにアクセスできる環境がLGWAN接続系にあることはセキュリティに大きな不安を感じられるでしょう。その経路を利用したサイバー攻撃を受ける可能性もゼロではありません。

　ソリトンシステムズでは「α’モデル」を安全に利用するためのポイントとして（１）クラウドサービス利用における多要素認証、（２）クラウドサービスへの条件付きアクセス、（３）特定のクラウドサービス以外へのアクセス制限、（４）クラウドサービスを提供する事業者のISO27001、ISO27017、ISMAPなどの認定、と少なくとも４つのポイントがあると考えています。

　まず「クラウドサービス利用時の多要素認証の導入」について、ご説明します。
　ID/パスワードのみの認証の場合、アカウント情報が漏洩した際に簡単に不正アクセスができてしまいます。現在、間接的に自分のアカウントがインターネットに漏洩しているという事象も発生していることから、ID/パスワードだけの認証は危険です。不正アクセスを防ぐには、多要素認証（MFA）が有効です。多要素認証は従来のID/パスワードを使った「知識認証」だけでなく、ICカードやデジタル証明書を利用した「所持情報」や静脈や顔を利用した「生体情報」を組み合わせて認証を行う方法です。複数の認証情報を組み合わせることで、たとえ１つの認証情報が漏洩したとしても不正アクセスができない仕組みとなっています。

　次に「クラウドサービスへの条件付きアクセス」という点です。
　誰もがどこからでもクラウドサービスにアクセスできることは便利な反面、不正アクセスの危険もはらんでいます。そのため、LGWANから特定のクラウドサービスへ直接接続を行うα’モデルでは、利用できるアカウント（職員）と場所を制限し、情報漏洩する可能性のある経路を極力排除する必要があります。こうすることで外部脅威から情報を守ることができるだけでなく、職員の個人アカウントからのアクセスや許可されていない端末からのアクセスなど、情報システム部門が把握できないアクセス経路を遮断することも可能です。

　３つめのポイントは「特定のクラウドサービス以外へのアクセス制限」です。
　便利だからといって、あらゆるクラウドサービスの利用を許可してしまうのは危険です。業務上、必要なクラウドサービスのみアクセスできるようにするなど、情報漏洩につながる可能性のある経路は極力設けないことが重要です。

　最後のポイントは「クラウドサービス提供事業者はISO27001、ISO27017、ISMAPなどの認定を取得していること」です。ISO27001、ISO27017、ISMAPは情報セキュリティに関する品質を担保するための、規格・評価制度です。ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格のことです。ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格のことです。ISO/IEC 27001とISO/IEC 27017の両方の認証を取得している企業は、クラウドサービスにも対応した管理体制が堅実に構築されているということです。ISMAP（Information system Security Management and Assessment Program）は、政府情報システムのためのセキュリティ評価制度のことです。政府が求めるセキュリティ要求を満たしているクラウドサービスのみが評価を受けることができます。

機能だけでなく、外部機関からの認証も受けているサービスを選定することで、より安全な環境を構築することができるでしょう。

セキュリティ強化、さらに職員の利便性向上を叶える「Soliton OneGate」

　ソリトンシステムズが提供するMFAを標準としたクラウド認証サービス「Soliton OneGate」は、Microsoft 365をはじめとするクラウドサービスの認証を偽装されにくいデジタル証明書を用いて行うことができます。一般的に構築・運用が難しいとされるデジタル証明書を簡単に発行・管理できる仕組みが実装されているため、専任の担当者がいない、または情報システム部門の人材が不足している現場でも導入することが可能です。

　不正アクセスを防ぐという点では、証明書を持たない端末からのアクセスをブロックするだけではなく、攻撃者を庁内ネットワークやアプリのログイン画面に到達させないようにでき、ログイン時の脆弱性を狙った攻撃への対策としても活用できます。

　利便性を向上させる機能としては、シングルサインオン（SSO）機能があります。SAML認証に対応したクラウドサービス、庁内システムへは「Soliton OneGate」がSAML連携し、シングルサインオンすることで職員がサービスごとにID/パスワードを入力する手間を省くことができます。SAML対応していないシステムにも代理認証アプリを利用してシングルサインオンすることも可能です。クラウドサービスだけでなく、庁内システムや無線LAN認証に対してもデジタル証明書を使った強固な認証ができることが大きな特徴です。

　「Soliton OneGate」は、先述したα’モデルを構築するうえで重要な４つのポイントのうち、（１）クラウドサービス利用における多要素認証、（２）クラウドサービスへの条件付きアクセス、の２つを満たすことができます。他のポイントについては、クラウドプロキシなどを組み合わせることで網羅できます。また「Soliton OneGate」はISO27001、ISO27017を取得、ISMAPを来春の取得を予定しており、クラウドサービスのセキュリティ強度、管理体制も万全です。

三層分離下での業務効率にお悩みの自治体は「Soliton OneGate」のご検討を

　住民の重要な情報を扱う自治体では、セキュリティ対策は欠かせないものです。しかし、αモデルを採用している自治体にとって、β/β’モデルへの移行はハードルが高いものがあります。また、今後、行政DXを推進するためにも職員の業務効率は無視できません。市民サービスをより良いものにするためにも「α’モデル」は今後注視するべきモデルだと考えます。

　ソリトンシステムズは全国の自治体で多数の導入実績があります。みなさまからのご相談をお待ちしております。

※「α’モデル」は地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会の検討項目であり、 また本内容は弊社が独自に想定したものです