BLOG
2025 年 04 月 09 日
2025 年 3 月改訂!「地方公共団体における情報セキュリティポリシーに関するガイドライン」に見る認証の課題とは?
2025 年 3 月 28 日に総務省が公表している「 地方公共団体における情報セキュリティポリシーに関するガイドライン 」が改訂され、大きく以下の点が新たに盛り込まれました。
(出典)総務省「 令和 7 年 3 ⽉のガイドライン改定のポイントについて 」
無線 LAN 利用時の認証強化
ガイドラインの中では「LGWAN 接続系」と「マイナンバー利用事務系」の端末において無線 LAN ネットワークを利用する場合のセキュリティ対策が追記されており、認証方式については以下の通り、 クライアント証明書を用いた認証が必須 であるとされています。
| 認証方式 | 正規利用者(認められた利用者)のみが無線 LAN に接続されるよう認証サーバを利用した WPA2/WPA3 エンタープライズモードを利用する。 具体的には、当該ネットワークの正規の端末のみに配付した IEEE802.1X のクライアント証明書により認証(ユーザ ID・パスワードを使わない、EAP-TLS 等の機器認証)し、接続を許可する。 |
必須 |
|---|
(出典)総務省「 地方公共団体における情報セキュリティポリシーに関するガイドライン ( 令和 7 年 3 月版 )」
地方公共団体(自治体)で管理していない第三者の端末が、無線 LAN にアクセスできてしまうと、業務情報の盗聴や不正な情報収集のリスクが生じます。このリスクを軽減するため、端末にインストールした クライアント証明書を用いた認証(EAP-TLS 認証)を実装することで、地方公共団体が正式に管理・承認している端末のみが無線 LAN ネットワークにアクセスできる環境を構築 します。この認証方式により、クライアント証明書を保持する認証済み端末のみが接続可能となり、不正アクセスを効果的に防止することが可能となります。
なお、クライアント証明書は無線 LAN 利用時の認証だけではなく、ガイドライン内に記載されている " なりすまし " による不正アクセス対策の多要素認証 ※(Multi-Factor Authentication:MFA)としても活用することが可能です。
- ※
- 多要素認証 については BLOG:多要素認証(MFA)とは? をご覧ください。
④ 情報システム管理者は、マイナンバー利用事務系では「知識」、「所持」、「存在」を利用する認証手段のうち二つ以上を併用する認証(多要素認証)を行うよう設定しなければならない。
(出典)総務省「 地方公共団体における情報セキュリティポリシーに関するガイドライン ( 令和 7 年 3 月版 )」
2025 年度は「α ' モデル」の普及元年
従来の三層分離(α モデル)では、クラウドサービスの利用は主にインターネット接続系からのみ可能でしたが、業務効率面での課題がありました。2024 年 10 月に公開されたガイドラインにて正式に規定された「α ' モデル」は、従来の α モデルに「ローカルブレイクアウト ※」の仕組みを導入し、LGWAN 接続系から直接特定のクラウドサービスにアクセスできるようにするものです。
LGWAN-ASP を経由せずに各種クラウドサービスを利用できるため、テレワークやウェブ会議などの業務効率化が図れ、無害化処理などのセキュリティ対策を施すことで、α モデルのセキュリティレベルを維持することができます。2025 年度より、段階的に自治体で普及していくものと考えられている「α ' モデル」は、2023 年時点で 9 割以上の自治体が採用している α モデルからの移行が比較的容易なため、今後のネットワーク更新や強靭化の更新タイミングに合わせて導入する地方公共団体が増えていくものと考えられています。
- ※
- ローカルブレイクアウトとは:通信をデータセンターや本社などに集約させず、拠点のインターネット回線へ直接アクセスさせる仕組みです。
(出典)総務省「 地方公共団体における情報セキュリティポリシーに関するガイドライン ( 令和 7 年 3 月版 )」
なお、現状のガイドラインではマイナンバー利用事務系端末における多要素認証の導入が必須とされていますが、「α ' モデル」への移行に伴い、今後は LGWAN 接続系においても多要素認証の導入による認証強化が必須とされていく可能性があります。
クライアント証明書を用いた認証強化ソリューション
サイバートラストのクライアント証明書サービスである「 サイバートラスト デバイス ID」は、今回ご紹介した LGWAN 接続系 / マイナンバー利用事務系端末の無線 LAN 利用時におけるクライアント証明書を用いた認証や多要素認証としてご利用いただけます。
また、クライアント証明書は 端末の MAC アドレスやシリアル番号などの端末識別情報に基づいて インストール可能であり地方公共団体で管理している端末にのみ取得することができるため、シャドー IT や " なりすまし " による不正アクセス対策として有効です。
「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。
各地方公共団体における情報セキュリティポリシー公表まで残り約 1 年
2024 年 9 月より施行された改正地方自治法では、本ガイドラインに基づき各地方公共団体で情報セキュリティポリシーを策定し、2026 年 4 月 1 日までに公表することを義務化 としています。
「地方公共団体における情報セキュリティ監査に関する ガイドライン」にて記載されている通り、 無線 LAN 利用時におけるクライアント証明書を用いた認証ならび多要素認証の導入については監査でも必ず確認されるポイント ですので、情報セキュリティポリシーの公表に向けた対応が必要となります。
