総務省が報告した自治体情報セキュリティ対策の抜本的強化策として、各自治体に実施を求めているインターネット分離を実現するソリューションが注目されている。自治体に限らず一般的な企業においても検討に値する、標的型攻撃対策のみだけではないインターネット分離のメリットについて述べる。
2015年5月、日本年金機構の職員に対して、外部から標的型攻撃メールが送付され、その結果、年金管理システムに保存されていた約125万人分の個人情報が漏洩した。標的型攻撃とは、特定の個人や組織を狙ったサイバー攻撃を指して、企業や国家の機密情報、個人情報の詐取を目的に行われることが多い。情報搾取の方法としては大きく2通りあり、1つはメール本文に記載されたURLへのアクセスを促し、アクセス先の不正なWebサイトにおいて認証情報などを搾取する。もう1つは、メールの添付ファイルの実行により不正なプログラムが実行され、当該プログラムが機密情報や個人情報を盗み出す。日本年金機構のケースでは、どちらも職員により行われ、結果としてマルウェアに感染し情報が漏洩している。
日本年金機構の情報漏洩事故を受けて、総務省の自治体情報セキュリティ対策検討チームは、2017年7月に控えているマイナンバーのオンラインでの情報連携開始を見据え、各自治体に「新たな自治体情報セキュリティ対策の抜本的強化に向けて」と題した報告書を公開した。総務省は以下の3点からなる3層の構えで、万全の自治体情報セキュリティ対策の抜本的強化を実施するよう求めている。
①個人番号利用事務系は、他の領域との通信をできないようにしたうえで、(1)端末からの情報持ち出し制限設定や(2)端末への二要素認証の導入などにより、個人情報の流出を徹底して防ぐこと。
②LGWAN(Local Government Wide Area Network:総合行政ネットワーク)環境のセキュリティを確保するため、(1)LGWANを活用する業務用システムと、Web閲覧やインターネットメールなどのシステムとの通信経路を分割すること。(2)両システム間で通信する場合、ウィルス感染のない無害化通信を図ること。
③インターネット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約したうえで、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講じること。
上記の①および②は、「自治体情報システム強靭性向上モデル」とされており、住基ネット、LGWAN接続、インターネット接続の3つのネットワークセグメントを分離することで、マイナンバーの保護強化策として官公庁や自治体を中心に適用が進められている(図1)。