三層分離
こんにちは!
デジタル行政戦略課のはしもとです。
多くの情報がデジタル化され、コンピュータに蓄積されています。
蓄積された情報は、業務を進める上で欠かすことができませんが、
デジタル化した情報は一度流出すると、取り返しがつきません。
そういった、デジタル化した情報を守ることも、
システム管理係の仕事の一つです。
今回は、どのようにして情報を守っているのか、について紹介します。
システム管理係がどんな仕事をしているかについては、
前回のnoteをご覧下さい。
自治体の情報セキュリティの基本
自治体のネットワーク構成は、
総務省の出している、
「地方公共団体情報セキュリティポリシーに関するガイドライン」
という指針に基づいています。
過去の個人情報流出事案への対策や、マイナンバー制度の運用を前提に、
情報を守るためのしくみが示されています。
このしくみは「三層分離」と呼ばれるもので、
ネットワークを
①マイナンバー利用事務系
②LGWAN接続系
③インターネット接続系
の3つに分離しています。
(総務省:地方公共団体における情報セキュリティポリシーに関するガイドライン より)
①マイナンバー利用事務系
住民情報など特に機密性の高い情報を扱っています。
他のネットワークとの通信を遮断し、アクセス制御、データ持ち出し制限
などによって、住民情報の流出防止を徹底しています。
②LGWAN接続系
LGWANとは、Local Government Wide Area Networkの略で、
地方公共団体を相互に接続する行政専用のネットワークのことです。
財務会計や文書管理など、主に内部事務で使用する領域で、
他自治体とのメールなども、この領域内で行います。
③インターネット接続系
ホームページの閲覧やインターネットメールなど、
外部との通信が可能な領域です。
インターネット環境には、サイバー攻撃などの脅威が潜んでいます。
そこで、都道府県毎にインターネットにつながる入口を集約し、
一元管理することで、高度なセキュリティ対策を効率的に実施しています。
このように、3つのネットワークを切り離すことで、
行政が取り扱う大事な情報を守っているのです。
インターネットを安全に用いる仕組み
インターネット接続系は、高度なセキュリティ対策が施されていて、
安全性の高いネットワークとなっています。
でも、日々新たな脅威が発生するインターネットと
直接の通信が可能である以上、
残念ながら、万が一のリスクが無いとは言い切れません。
そのため、金沢市では、マイナンバー利用事務系専用のパソコンを除き、
業務で使用するパソコンの多くを
インターネットから切り離された「LGWAN接続系」で利用することで
サイバー攻撃から守っています。
しかし、デジタル化の進む現在、インターネットとのやり取りを
”完全になし”として、仕事を行うことはできません。
そのため、LGWAN接続系とインターネット接続系の間で
情報を安全にやり取りできる仕組みをいくつか用意しています。
仕組みの紹介:添付ファイルの無害化
金沢市では、
インターネットから添付ファイル付きのメールを受信したとき、
仕事用パソコンには、
コンピュータウィルスなどのマルウェアへの感染リスクがない
テキスト化された本文だけが届きます。
添付ファイルはどこへ消えたのでしょう?
インターネットから届くメールの添付ファイルは、
不正なプログラムの温床です。
そのため、
添付ファイル付きのメールは、本文と添付ファイルが分離され、
本文だけがテキスト化された上でLGWAN接続系に送られます。
添付ファイルは、本文と別にインターネット接続系に保存されるので、
LGWAN接続系に添付ファイルを取り込む必要がある場合は、
「無害化」という処理を行い、マルウェアなどの脅威を取り除いたうえで、
LGWAN系に取り込まなければなりません。
「無害化」するためには、
手順1 インターネット接続系にログインして、
手順2 添付ファイル保存のシステムを起動し、
手順3 添付ファイル保存のシステムから必要な添付ファイルを探しだし、
手順4 探し出した添付ファイルを無害化システムに投入し、
手順5 10分ほど待つと、無害化された添付ファイルが生成される。
といった操作を行う必要があり、なかなか手間がかかりますが、
安心・安全なセキュリティ確保のため、日々がんばって操作しています。
三層分離の見直し
三層分離は、平成27年度から28年度にかけて全国の自治体に導入され、
セキュリティ対策としては高い効果を発揮する反面、
無害化に代表されるように、業務効率の低下が指摘されています。
金沢市でも三層分離を導入して6年が経過し、
また、新しい技術も開発されてきていることから、
現在、セキュリティレベルを維持しつつ、業務効率も改善できる、
新たなインターネット接続の方法を検討しています。
セキュリティを維持・向上しつつ、いかに業務効率を高めるか。
永遠の課題ですが、最適な仕組みがつくれるよう、努めていきます。
お読みいただきありがとうございました。