次期自治体情報セキュリティクラウドとは？その必要性や要件を解説

サイバー攻撃の標的となるのは個人や民間企業だけではありません。
地方自治体をターゲットにした攻撃も確認されており、セキュリティ対策の重要性は個人や民間企業と変わりません。

地方自治体においては自治体情報セキュリティクラウドを構築し、一定のセキュリティ対策が施されてきましたが、業務効率の低下や自治体ごとのセキュリティ強度の差異、高いコストなどの課題も生まれました。

そこで国が標準要件を決め、民間企業と協力して構築を進めているのが次期自治体情報セキュリティクラウドです。
この記事では、次期自治体情報セキュリティクラウドについて詳しく解説します。

また、組織・企業のセキュリティ対策をお考えの方へ、情報セキュリティ教育クラウド「セキュリオ」をおすすめします。
社員教育、訓練、診断から認証管理まで情報セキュリティ対策をかんたんに実施できます。
詳しくはサービスサイトをご覧ください。

次期自治体情報セキュリティクラウドとは

令和2年5月22日に総務省が「自治体情報セキュリティ対策の見直しについて」を公表しました。
その後、「地方公共団体における次期情報セキュリティクラウドの検討に係るワーキンググループ」が開催され、次期自治体情報セキュリティクラウドの標準要件が検討されました。

次期自治体情報セキュリティクラウドとは、この標準要件を受けて再構築された自治体情報セキュリティクラウドのことを言います。

自治体ごとのセキュリティ水準の差を埋め合わせ、最低限満たすべき水準と、自治体ごとの要求水準を提示し、民間に構築を依頼することで、コストを抑制しつつ必要なセキュリティ水準を確保することを目的としています。

そもそも自治体情報セキュリティクラウドとは

自治体情報セキュリティクラウドとは、都道府県と市区町村がWebサーバー等を集約し、監視及びログ分析・解析をはじめ高度なセキュリティ対策を実施するもの、とされています。

地方自治体は地域住民の個人情報を取り扱っているおり、特にマイナンバーなどは、漏洩が許されない重要な情報であり、しっかりとしたセキュリティ対策が必要です。

とは言え、情報セキュリティ対策は適切・適度に実施しなければ、業務効率の低下を招いてしまうこともあります。
行政手続きのデジタル化も各所で進んでいますので、それを阻害する要因にもなりかねません。

また、これまで自治体ごとの情報セキュリティレベルもまちまちで、一貫性がありませんでした。
さらに、サイバー攻撃の多様化や高度化にともなう、セキュリティ対策の見直しも必要とされてきたのです。

そこで総務省が自治体単位でインターネットの出入口とセキュリティ施策を集約することで、各自治体が同一のセキュリティレベルでインターネットを活用できるようにしたのです。
これが自治体情報セキュリティクラウドです。

次世代自治体情報セキュリティクラウドは、これにさらに、自治体ごとのセキュリティレベルの違いを克服するために、国が標準要件を決めて、その要件を満たすように見直したものです。

次期自治体情報セキュリティクラウドの必要性

自治体情報セキュリティクラウドは、「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3層における対策を要件としていました。

しかし、要件の検討・整備が短期間で行われたため、各自治体間でのセキュリティレベルに差があり、標準的な要件が設けられていない という課題がありました。

またセキュリティレベルが向上したものの、クラウドバイデフォルトの原則や多様な働き方への対応ができていない、特にテレワークへの対応が不十分だったことも大きな課題でした。
たとえば自宅からLGWAN系のネットワークへの接続ができないことは、テレワークの大きな障害です。

そこで、セキュリティレベルが高い方式をαレベル、利便性に優れテレワークにも対応した方式をβモデルとして、自治体に選択できるようにしたのです。

βモデルではαモデルで対応していない、LGWAN接続系にある一部の業務システムをインターネット接続系に配置することが可能となっています。

この特性を生かせば、在宅勤務している職員が自宅のインターネット回線から、LGWAN接続系へのアクセスも可能となります。

次期自治体情報セキュリティクラウドの標準要件

「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」にて、次期自治体情報セキュリティクラウドの標準要件がまとめられました。
詳細な内容は総務省のWebページに記載されています。

この標準要件では、「インターネット通信の監視」「インシデントの予防」「高度な人材による監視と検知」「対応と復旧」の4つの大分類を持ち、それぞれに対応する機能や機器に用途が定められています。

たとえば、「Webサーバー」であれば「各自治体のWebサイトを運用するWebサーバーを監視する」といった内容です。

この検討会では、次期自治体情報セキュリティクラウドのサービスの提供を検討してる事業者に対して、標準要件を満たすクラウドサービスの開発と運営、総務省や都道府県に提供予定のクラウドサービスの提案及び価格などに関する情報提供も依頼しています。

次期自治体情報セキュリティクラウドの要件をクリアしているサービスを導入すること

次期自治体情報セキュリティクラウドの要件をクリアしているサービスの導入により、地方自治体の業務はさらに効率的なものとなります。

また、国が主導して標準要件を固めて、各自治体の要求水準に応じてオプション要件を設け、民間企業にクラウドサービスの開発と提供を依頼することで、セキュリティの確保とコストの削減を両立することが可能になります。

都道府県が運用し、市区町村がセキュリティ対策を維持するという形は残しながら、国が提案した標準要件を満たすことを要求することが、次期自治体情報セキュリティクラウドサービスの導入と言えるでしょう。

まとめ

次期自治体情報セキュリティクラウドは、自治体のセキュリティレベルを向上させながら、業務効率を高められる情報処理環境です。

その実現には、国が決めた標準要件を意識しつつ、自治体と民間企業の連携も重要となってきます。
実現に向けて多くの課題も残されていますが、今後も目が離せない取り組みと言えるでしょう。