採用情報

お問い合わせ

ソリューション紹介

地方自治体の情報システムを強靭化する国産の情報セキュリティ対策ソリューション

「地方公共団体における情報セキュリティポリシーに関するガイドライン」への対応

地方自治体の情報システムを強靭化する国産の情報セキュリティ対策ソリューション

背景

地方自治体は、総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン」に基づき情報セキュリティポリシーを策定し、情報セキュリティ対策を講じる必要があります。2015 年に発生した、日本年金機構における大規模な個人情報漏えいを発端に、政府は「自治体情報セキュリティ対策検討チーム」を発足し、2015 年 12 月に地方自治体に対し「三層の対策」と呼ばれる従来の情報セキュリティ対策を強化するように要請しました。

「三層の対策」

三層の対策とは、地方自治体の情報システムを「マイナンバー利用事務系」「LGWAN 接続系」「インターネット接続系」の 3 つに分離することです。地方自治体は、三層の対策を進めると同時に、都道府県及び市区町村が協力してインターネット接続を集約し、インターネット接続系において高度な情報セキュリティ対策を実施する「自治体情報セキュリティクラウド」の構築が求められています。

2020 年 5 月には「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」において、「三層の対策」の見直しの検討がなされ、具体的な施策として効率性・利便性の向上とセキュリティの確保の両立を実現することを目指しており、2021 年度末までにガイドラインの改定版が公表される予定です。

地方自治体におけるネットワーク構成イメージ
地方自治体におけるネットワーク構成イメージ

地方公共団体における情報セキュリティポリシーに関するガイドライン改定のポイント

自治体情報セキュリティクラウドおよびインターネット接続系システムの構築・運用においては、システム監視、バックアップ、脆弱性情報の入手と対応、ホームページの暗号化と実在性認証、ウェブアプリケーションやネットワークにおける脆弱性診断、ウェブアプリケーションの脅威からの保護、マイナンバー利用事務系では個人番号にアクセスできる端末の制限やテレワーク端末の制限など広範囲な対策が必要になります。

地方公共団体における情報セキュリティポリシーに関するガイドラインの改定ポイントは以下となります。

マイナンバー利用事務系の分離 住民情報の流出を徹底して防止する観点から他の領域との分離は維持しつつ、国が認めた特定通信(例:eLTAX、ぴったりサービス)に限り、インターネット経由の申請等のデータの電子的移送を可能とし、ユーザービリティの向上や行政手続のオンライン化に対応する。
LGWAN 接続系とインターネット接続系の分離 効率性・利便性の高いモデルとして、インターネット接続系に業務端末・システムを配置した「新たなモデル」を提示しています。ただし、地方自治体によっては対応可能なセキュリティ対策レベルには差があることから、「新たなモデル」の採用にあたっては情報資産単位でのアクセス制御、監視体制や CSIRT など緊急時即応体制の整備、職員のリテラシー向上など人的セキュリティ対策の実施が条件となります。
リモートアクセスのセキュリティ 業務で取り扱う情報の重要性に合わせて、LGWAN 接続系のテレワークについての基本的な考え方、リスク及びセキュリティ要件とともに、想定されるモデルが記載されています。
LGWAN 接続系における庁内無線 LAN の利用 LGWAN 接続系において庁内無線 LAN を利用する場合のセキュリティ要件が記載されています。
情報資産及び機器の廃棄 神奈川県における HDD 流出事案を踏まえ、情報システム機器の廃棄等について、情報の機密性に応じた適切な手法等が整理されています。
クラウドサービスの利用 クラウドサービスを利用するにあたっての注意点(サービスレベルの検討の必要性、バックアップを含めた必要なサービスレベルを保証させる契約締結等)が記載されています。
研修、人材育成 各自治体の情報セキュリティ体制・インシデント即応体制の強化について記載されています。
マイナンバー利用事務系の分離における見直しのイメージ
マイナンバー利用事務系の分離における見直しのイメージ
LGWAN接続系とインターネット接続系の分割における見直しのイメージ
LGWAN接続系とインターネット接続系の分割における見直しのイメージ

自治体情報セキュリティクラウドの機能要件

改定される「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、自治体情報セキュリティクラウドの機能要件として 29 項目を提示しています。サイバートラストは、このうち「サーバーの監視」「Web アプリケーションの防御」「ログ収集、イベント監視」「インシデント予防のための脆弱性管理」や「バックアップとリストア」などに対応したソリューションを提供しています。また、地方自治体のホームページの実在性を証明するためのサーバー証明書「SureServer Prime」、電子署名や公的個人認証を実現するトラストサービス「iTrust(アイトラスト)」、情報セキュリティクラウドを実現するうえで不可欠な Linux OS「MIRACLE LINUX」、などをはじめ、自治体情報セキュリティクラウドの機能要件をご支援するさまざまなサービスを提供しています。

サイバートラスト 自治体情報セキュリティ対策ソリューション

サイバートラストは、自治体情報セキュリティクラウドの機能要件に対応するさまざまなソリューションを提供しています。また、システム構築の際のセキュリティポリシーの策定やセキュリティ教育など「三層の対策」によるセキュリティ強化を実現します。

サイバートラスト 自治体情報セキュリティ対策ソリューション
システムのログ収集・分析、イベント監視|「MIRACLE ZBX」
システムのログ収集・分析、イベント監視|「MIRACLE ZBX」

セキュリティ基準の国際標準となりつつある米国標準技術研究所(NIST)のセキュリティガイドライン「NIST SP800-171」および「NIST SP800-53」の要件に準拠する、統合システム監視ソフトウェア「MIRACLE ZBX」は、豊富なシステム監視機能が「オールインワン」で提供しています。
監視対象の数に依存しないサポート価格体系のため、初期費用も運用費用も大幅削減が可能です。Linux OS ベンダーとして培った高い技術力によるソースコード解析をサポートの基本としており、最長 10 年間の長期サポートを提供しています。

MIRACLE ZBX ウェブサイト

システム・サービス構成管理、脆弱性情報の入手と該当製品への対応|「MIRACLE Vul Hammer」
システム・サービス構成管理、脆弱性情報の入手と該当製品への対応|「MIRACLE Vul Hammer」

ソフトウェアの脆弱性管理を自動化・効率化する脆弱性管理ソリューション「MIRACLE Vul Hammer」は、Linux ディストリビューションの知見を活かした OSS の高精度スキャンなどにより、脆弱性管理情報の一元管理と脆弱なソフトウェア対策のタイムリーな対応を可能にします。
また、日本でも注目される米国標準技術研究所(NIST)のセキュリティガイドライン「NIST SP800-171」への対応を支援します。

MIRACLE Vul Hammer ウェブサイト

システムのバックアップとリストア|「MIRACLE System Savior」
システムのバックアップとリストア|「MIRACLE System Savior」

MIRACLE System Savior は、サーバーベンダーとの連携を強みとして、企業向けシステムイメージバックアップの要件に基づいて開発されました。最新のサーバーやマルチ OS、仮想化ソフトウェア、およびクラスタソフトウェアへの対応、24 時間サポート、7 年間長期サポートを提供しています。2010 年 3 月の発売以来、災害対策への意識の高まりにより導入拡大が進み、累計で 4,000 ライセンス以上の導入を誇ります。

MIRACLE System Savior ウェブサイト

ウェブサーバーの暗号化と実在性証明|「SureServer Prime」
ウェブサーバーの暗号化と実在性証明|「SureServer Prime」

自治体情報セキュリティクラウドのウェブサービスやホームページにおける通信の暗号化や実在性の証明は非常に重要性が高く、実在性を証明できるサーバー証明書は OV(Organization Validation)もしくは EV(Extended Validation)です。サイバートラストが提供する SureServer Prime シリーズは、クラウド環境に最適なライセンス体系と複数年パックプランを提供しています。複数年パックプランは、契約期間を最長 6 年までとし、長期間の購入でよりお求めやすい価格を実現したメニューです。複数年分(2 ~ 6 年間)の発行権利をもつチケットを一括で購入でき、官公庁や地方公共団体などで複数年の費用を一括で調達する入札案件などのニーズに対応が可能です。

SureServer Prime ウェブサイト

ウェブサーバーセキュリティ対策|「WAF Plus」
ウェブサーバーセキュリティ対策|「WAF Plus」

サイバートラスト WAF Plus は、ウェブサイト・ウェブアプリケーションを DDoS 攻撃や脆弱性を狙った攻撃から守り、パフォーマンス、信頼性を向上させるサービスを包括的に提供するクラウドサービスです。 WAF のエンジンには実績があり機能的な評価の高い、Imperva 社の App Protect Essentials を利用しており、Webサイト・Web アプリケーションを DDoS 攻撃や脆弱性を狙った攻撃から守り、パフォーマンスや信頼性を向上させるサービスを包括的に提供します。

WAF Plus ウェブサイト

脆弱性診断サービス
脆弱性診断サービス|「Web アプリケーション診断/ネットワーク診断/AD ペネトレーションテスト」

サイバートラストでは、経済産業省 「情報セキュリティサービス基準」に準拠した脆弱性診断サービスを提供しています。 Web アプリケーションの脆弱性とは、Web アプリケーションに内在するプログラム上のバグのことを指します。攻撃者はその脆弱性を突き情報の奪取などの攻撃をします。
Web アプリケーション診断は、一般的な Web アプリケーションの脆弱性として知られる「SQL インジェクション」や「クロスサイトスクリプティング」などはもちろんのこと、熟練の知識と豊富な経験によって高められた当社独自の技術を活用し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を徹底的に洗い出します。 ネットワーク診断は、OS やミドルウェアの脆弱性を診断します。リモートによる診断も可能ですが、システムを運用する施設内で実施することでより深い診断が可能です。
ペネトレーションテストとは、実際の攻撃を想定した疑似攻撃を行いシステムに対して侵入を試みることで、脆弱性のチェックをはじめとしたセキュリティ耐性や、あるいは設計上の問題などをテストする手法のことです。Active Directory(AD) ペネトレーションテストは、テクニカル・リスク・ポイントのチェックを通じ、AD の脆弱性やセキュリティ耐性の調査を行います。

脆弱性診断 ウェブサイト

二要素認証によるアクセス端末の制限|「サイバートラスト デバイスID」「サイバートラスト マネージドPKI」「サイバートラスト パーソナル ID」
二要素認証によるアクセス端末の制限|「サイバートラスト デバイスID」「サイバートラスト マネージドPKI」「サイバートラスト パーソナル ID」

三層の対策の見直しでは、マイナンバー利用事務系で利用する端末やテレワーク環境の端末には、二要素認証および情報持出不可設定が定義されています。
サイバートラストでは、組織が許可した端末のみが情報にアクセスすることが可能な端末認証サービス「サイバートラスト デバイス ID」やスマートカードログオンをはじめ幅広い用途に利用可能な「サイバートラスト マネージド PKI」などの電子認証局サービスを提供しています。

サイバートラスト デバイス ID ウェブサイト
サイバートラスト マネージド PKI ウェブサイト

地方自治体情報セキュリティ対策ソリューション 資料ダウンロード

自治体情報セキュリティクラウドの対策でお困りではないですか? サイバートラストの地方自治体情報セキュリティ対策ソリューションに関する概要をまとめた PDF 資料をご用意いたしました。無料でダウンロードいただけます。

メールアドレス 必須

※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきますので、確認メール内の URL をクリックしてください。その後、ご登録のメールアドレスにダウンロード URL をお送りします。

自治体情報セキュリティクラウドの対策でお困りではないですか? サイバートラストの地方自治体情報セキュリティ対策ソリューションに関する概要をまとめた PDF 資料をご用意いたしました。
サイバートラストのソリューション お問合せフォーム

本記事をお読みになり、サイバートラストのソリューションにご興味をお持ちになられましたら、是非お問い合わせください。

お名前 必須
法人名 必須
部署名
メールアドレス 必須 ※入力間違いにご注意ください。
電話番号 必須
お問い合わせソリューション 必須 ※ お問合せいただくソリューションを選択してください。
お問い合わせ内容 必須
詳しくはサイバートラストのプライバシーポリシーをご覧ください。

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime