自治体ITセキュリティを強靭化

総務省の自治体情報セキュリティ対策検討チームが2015年11月24日に発表した「新たな自治体情報セキュリティ対策の抜本的強化に向けて～自治体情報セキュリティ対策検討チーム報告～」では、「インターネットのリスク対応」について、「マイナンバー制度が施行されるまでに、庁内の住民基本台帳システムがインターネットを介して不特定の外部との通信を行うことができないようになっていることを確認することが望まれる」という提言や、「情報提供ネットワークシステムの稼動を見据え、機密性はもとより、可用性や完全性の確保にも十分配慮された攻撃に強い内部ネットワーク等の構築を図ることが望まれる」などといった提言がなされています。
また、VPN、クラウド、EDI、VDIなど、今やあらゆるシステム／アプリケーションにログインするためには、IDとパスワードを入力し、認証を受けることが必須となっています。しかし、日々進化しているなりすまし等のハッキング技術により、いとも簡単にID／パスワードが盗まれるのも明白な事実です。その問題を解決するため、ワンタイムパスワード等の2要素認証技術が一部の企業において、導入が進んでいましたが、高コストや構築・運用の負荷が大きな課題でありました。

ページの上へ▲

セキュリティインシデントをとりまく動向

昨今増加しているセキュリティインシデントの種類

標的型攻撃

標的に応じたメール文章で、ウイルスなどを起動させる手法。差出人偽装など手口が非常に巧妙になり、全社員のうち一人でも引っかかると社内システムに侵入されるため、100％防ぐのは困難。
例：営業職に見積もり依頼等でメールし、添付のExcelファイルを開かせる

水飲み場型攻撃

標的が良く利用するWebサイトを改ざん、または興味を抱きそうなテーマのWebサイトを作成し、悪意のあるプログラムをDL・実行させる手法。
標的以外の利用者がWebサイトにアクセスしてもプログラムは起動しないため、犯行が発覚しにくい。

自治体のセキュリティインシデント対策

自治体情報セキュリティ対策抜本的強化案として総務省から都道府県および政令指定都市に通達されました。

自治体情報システム強靭化向上モデル

既存の情報系ネットワークをインターネット遮断環境とインターネット接続環境に分離する。

自治体情報セキュリティクラウド

市区町村におけるインターネット出入口を都道府県が設けるデータセンターに集約。データセンターには高度なセキュリティソリューションを配置しリスクを無害化する。

ページの上へ▲

SafeNetとCitrixによるWeb分離構成

仮想デスクトップの導入により、外部へのアクセスを行うネットワークと、内部ネットワークを分離することが可能となるとともに、「Citrix Netscaler」の利用による、外部からのアクセスのセキュリティ向上や、「セーフネット認証サービス」による二要素認証によるアクセス制御が実現し、自治体セキュリティの強靭化をより容易に実現可能となります。