対策は 庁内ネットワークの 再構成 と ネット接続口の 集約

　検討チーム中間報告に基づく 8月の総務省通知を 受け、各自治体は 既存の 住民基本台帳システムを インターネットから 分離したほか、CSIRT（Computer Security Incident Response Team、シーサート）の 設置や 緊急時の 国への連絡ルートの 多重化など、体制面の強化を 進めている。
総務省も 各自治体での取り組みを支援するため、セキュリティ専門の 民間の登録人材が メール問合わせに 対応する「自治体情報セキュリティ支援プラットフォーム」を 9月末に 立ち上げた。
　だが、手間がかかるのが システム面の 対応だ。 11月の最終報告に盛り込まれた 対策の柱 となるのが、 （1）「自治体情報システム強靭性向上モデル」に基づく 庁内ネットワークの 再構成と、 （2）市町村ごとにあるインターネット接続口を 都道府県単位に集約して 監視機能を強化する「自治体情報セキュリティクラウド」の 構築である。
総務省は、マイナンバー制度での 国・自治体間の 情報連携 が 始まる 2017年7月までの 対応を 求めている。

　自治体情報システム強靭性向上モデル への 対応は、2段階で 進める 流れになる。
まず、住基・団体内統合宛名・税・社会保障などの マイナンバー そのものを扱う「マイナンバー利用事務系」の 通信を、ほかのシステムと 完全に分離する。 インターネットや 他システムからの ウイルスの侵入や 不正アクセスを 遮断するためである。 加えて、2要素認証による アクセス制御と、USBメモリーなどによるデータ持ち出しの 不可設定を施し、建屋内への侵入者や 内部犯行による 情報の窃取、ルール外の データ複製も 抑え込む。

　第2段階では、マイナンバーによる情報連携に用いられる データを扱うシステム、または 自治体間の専用ネットワークである「総合行政ネットワーク（LGWAN）」に 接続されるシステムである 財務会計・人事給与・庶務事務・文書管理 などの「LGWAN接続系」の 通信を、Webによる 情報提供・収集や インターネットメールなどの「インターネット接続系」の 通信と 分離する。 LGWAN接続系には、マイナンバー利用事務系と 同様に 2要素認証による アクセス制御も 求める。

　検討会などでは、実務の観点から 民間などとの情報のやり取りがあり、LGWAN接続系と インターネット接続系との 通信を 完全に分けることは 難しいとの 声が 自治体から上がった。
このため、いったん両システムの通信を 分離したうえで、必要な通信だけを 許可する “分割”も 認めることになった。
この 分割は、報告書で “リスク分断” あるいは “無害化通信”とも 呼んでいる。 例えば インターネットメールを インターネット接続系の専用メールサーバーで いったん受信してから 添付ファイルの削除や HTMLメールのテキスト化を 施し、LGWAN接続系の 専用メールサーバーとの間で SMTPだけを用いて テキストメールを転送する ような 手法を 想定している。

3系統の 事務ごとに 端末を 使い分ける ことに

　マイナンバー利用事務系、LGWAN接続系、インターネット接続系の 通信の分離は、物理的に 別ネットワークとする 構成のほかに、レイヤー3 スイッチによる 論理的なセグメント分割である VLAN（バーチャルLAN）設定 も 認める。
この場合、都道府県などの 大規模な自治体の 庁舎では、3系統の サーバーシステムを L2スイッチなどを介して メインL3スイッチに つなぎ込む 一方、メインL3スイッチに 各階に置く フロアL3スイッチを 収容し、各フロアでは L3スイッチから 必要な系統の L2スイッチを介して 各系統の端末を 接続する 構成に なりそうだ。

　問題は、各系統の 端末を 物理的に分ける 必要があること。 LGWAN接続系と インターネット接続系 は、現状では「情報系」と呼ばれ、共通の端末を使用する 形態が 一般的である。 また、マイナンバー利用事務系に 相当する 現行の基幹系 でも、住基システムに限っては マイナンバー法施行日の 10月5日までに インターネットからの分離を 全自治体で 確認したものの、税や社会保障のシステムについては 端末を共用している 自治体が まだまだ 少なくないはずだ。
マイナンバー利用事務系や LGWAN接続系の事務を担当する 職員が、Webアクセスによる情報収集や インターネットメールの授受を 職務として 欠かせない場合は、複数台の 端末を 割り当てる 必要が出てくる。

　現時点で 総務省は 端末共用を可能にする 方針を 明示はしていない。
系統をまたがる 職務を 担当する職員には 必ず複数の端末を 配備するとなると、職員数が多い 大規模な自治体は もちろん、限られた職員で 複数の事務をこなしている 小規模な自治体でも、端末の増設は 導入コスト、設置スペース、運用管理 などの 面で 大きな負担に なりそうだ。
コスト面の 制約などから 異なる系統の 事務で 端末を共用せざるを得ない 場合には、他系統からの影響を排除して セキュリティを確保できる 仮想デスクトップ環境（VDI）など の 導入が 不可欠になるだろう。

　3系統のシステムでは、Active Directoryなどの 認証サーバーも 別々に設置する 必要がある。 このため、各自治体では ディレクトリ情報の 維持・更新などの 運用管理を 効率的に実施するための 工夫が 不可欠になりそうだ。
マイナンバー利用事務系 では、OSのアップデートや セキュリティソフトのパターンファイル更新も インターネットを介さずに 実施する 必要もある。 このため 運用を 工夫しないと、かえって セキュリティが 低下しかねない 懸念がある。

セキュリティクラウド は 都道府県単位に 構築

　対策の 2本目の柱である 自治体情報セキュリティクラウド の狙いは、自治体の インターネット接続口を 集約して 監視箇所を絞り込み セキュリティの 水準を 確保すること。 1741市町村 すべてに ログ分析などができる セキュリティ人材 を 配置するのは 困難との 判断に基づく 方策だ。 セキュリティクラウドは 都道府県単位に設け、各市町村を IP-VPNで収容する 形態になる。 政令市など、自団体で 十分なセキュリティを確保できる 団体は、クラウドを介さずに、個別に インターネットに 接続しても 構わない。

　総務省は コスト削減の効果も 見込んでいる。メールや Webなどの サーバー類、ルーターなどの ネットワーク機器、IPS（侵入防止システム）/IDS（侵入検知システム）や 振る舞い検知、ログ管理などの セキュリティ対策機器 を、多数の 市町村で 共用できる からである。 「人口200万人規模の 都道府県（職員4000人、40市町村で約1万人）」の モデルで、導入初期費は 個別導入時の 50％減 となる 4億5600万円、運用費は 個別導入時より 8％増えて 4億9700万円と 試算している。

　自治体情報システム強靭性向上モデルの 導入と、自治体情報セキュリティクラウドの 構築に 向け、総務省は 予算措置を 計画している。 8月の 2016年度予算概算要求の時点で「事項要求」としていた「自治体情報セキュリティ強化事業」と「自治体情報ネットワーク緊急安全確保事業」に関して、まもなく公表される 2015年度補正予算案 と 2016年度予算案 に 分けて 費用を 計上する 見通しだ。
現時点で 要求金額は 不明だが、モデル試算から 推測すると、自治体情報セキュリティクラウドの 構築費用は 200億～300億円 規模 に なりそうだ。 自治体情報システム強靭性向上モデルの 導入も、ファイアウォールや 認証サーバーの増設、2要素認証のための ICカードリーダーや 生体認証装置の 新規導入、ネットワークの 再構成作業、さらに 端末増設などが 必要になるため、必要費用としては 数百億円規模以上 になる 可能性がある。 ただし、予算要求額が 必要費用を満たす額に なるかどうかは はっきりしない。

　セキュリティ分野の ベンダー各社は、“特需”の獲得を目指して すでに 受注に向けた 準備を 進めているようだ。競争があれば 性能・機能・コスト の 面で 優れた ソリューションを 自治体が 手に入れられる 可能性は 高まるだろう。
一方で、自治体側には 人材面の 懸念が つきまとう。 2016年度からは マイナンバー制度の 情報連携に向けた テストが 始まり、システム部門の 負荷は 上がる。 ネットワークを 再構成すれば、庁内の 情報連携の 再点検も 欠かせない。
だが、時間や人材が足りないから と言って、拙速に 取り組むのは リスクが大きい。例えば 仮想デスクトップを 導入しても、インターネット接続系の アプリケーションから 異系統のアプリケーションには コピー＆ペーストができない などの 利用面の 制約が 新たに 発生する。 現行の 事務フローを 見直さなければならない ケースも 出てくるはずだ。
かといって、事務効率が 極端に 犠牲になるようだと、そもそも 行政事務の 効率化を目的とした マイナンバー制度の 主旨を損ねることに なりかねない。 各自治体には、使い勝手・運用性 と セキュリティの バランスを 確保した 対策が 求められる。総務省も 両面から 自治体を 支援する 必要が あるだろう。