自治体の｢セキュリティ対策｣でやりがちなミス ｢総務省ガイドライン｣改定のインパクトは？

三層分離とは、業務の用途ごとに、「マイナンバー利用事務系として厳格なセキュリティ対策が施されたネットワーク」「LGWAN（Local Government Wide Area Network）接続系として、政府と自治体を接続する機密性の高い情報を扱う行政専用のネットワーク」「インターネット接続系としてウェブやメールなどの一般業務ネットワーク」、これら3つに分けてセキュリティ強化を図ったモデルである。

しかし、昨今の計算機を取り巻く環境がクラウドに移行する中、利便性とセキュリティの両面を意識する必要に迫られてきたこともあり、従来のように閉域化することだけが自治体セキュリティの基本というわけにもいかなくなったため、オンライン化に対応した見直しが行われたのだ。

まさに、自治体のクラウド環境における情報資産の考え方が浸透し始めた転換期と言えよう。今までは情報の維持・管理ばかりが注目されがちであったのに対し、情報そのもののライフサイクルを意識していこうという機運が高まったのである。

今後はクラウド利用におけるデータ消去に対しても、例えばクラウド事業者の第三者認証や監査報告書、データ消去を示した根拠となりうる廃棄証明書を用いた確認も重要になるはずである。

2022年、長野県塩尻市では総務省のガイドラインに準じたHDD消去手順の検証を行い、物理破壊ではなくソフトウェア消去によって第三者機関が復旧不可能であることを証明した。翌年には、自治体システムの標準化およびガバメントクラウドへの移行を意識した検証も実施。クラウド上に暗号化して保存した住民の個人情報データに対して、暗号鍵を消去することでデータ復元が不可となることを実証したのである。

仕組み導入は単なるスタート、重要なのは｢人｣

こうした自治体でのさまざまな取り組みなども踏まえ、2024年6月、参議院本会議で改正地方自治法が可決・成立した。本改正では、地方公共団体はサイバーセキュリティ確保の方針を定め必要な措置を講じることとされ、自治体においてより確固たるサイバーセキュリティ強化が求められることとなった。

同年10月、総務省は先述したガイドラインを改定。地方公共団体ごとにサイバーセキュリティ基本方針を策定し、2026年4月1日を期限として公表の義務を課すこととなった。このことから、2025年はなお一層、自治体におけるセキュリティ強化への機運が高まる年となるはずである。

いずれにしても、自治体だから特別なセキュリティの考え方があるわけではない。安全とされる仕組みの導入は単なるスタートであり、その仕組みを実行する「人」そのものが重要だということを忘れてはならない。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、猪俣 敦夫さんの最新記事をメールでお知らせします。