日本の地方自治体に特有のネットワーク構成である LGWAN や要件である 三層分離 について改めて勉強するために2冊の本を読んだので記録をまとめます。
LGWAN とは、総合行政ネットワーク (Local Government Wide Area Network) の略です。
地方公共団体の組織内ネットワーク(以下「庁内LAN」という。)を相互に接続し、地方公共団体間のコミュニケーションの円滑化、情報の共有による情報の高度利用を図ることを目的とする、高度なセキュリティを維持した行政専用のネットワークです。
自治体だけでなく、地方公共団体に広く利用されています。中央政府については LGWAN は使っておらず、似た用途のもの(しかし全くべつもの)として 政府共通 NW (G-NET) というものがあります。
これで万全!自治体情報セキュリティ~攻めるなら守ってみせよう情報資産~ オンデマンド (ペーパーバック) – 2021/6/1
情報セキュリティとはなにかという基本から始まり、情報セキュリティポリシーについて解説されています。また、セキュリティ関連法案や公共系のセキュリティ事案(インシデント)について代表的なものを取り上げて紹介しています。セキュリティの組織体制の構築の仕方やその組織とポリシーの運用についてもそれぞれ独立した章が割かれています。
以下メモ。
- 情報システム強靭化対策
- 三層分離
- これらのネットワークセグメントをわけ、ネットワークを介したデータやファイルのやりとりを禁止する。
- しかし、当然データやファイルを相互にやりとりしなくてはいけないことはある。住民からオンライン申請でインターネット経由で送信された手続きの処理にマイナンバーが必要になる、とか。そんなときどうするか?その1つが「無害化」。
- 無害化(ファイル無害化)
- インターネットメールサーバのメール本文のみ抽出したり、 VDI などの仮想化環境を使うことで、仮想化環境から転送された画面を操作して Web を参照可能とする方法、などの方法が例示されている。
- 書籍中では触れらていないようだが、ファイル無害化のソフトを提供する会社もあり、そういったソフトの処理を経由することで悪意のある(可能性のある)ファイルを改変し文字通り無害化する方法もあるようです。
- 例えばマクロ付きの Excel ファイルからマクロを除去したり、と言った処理は典型的な無害化の方法なのではないかと思います。
この本は、電子版と単行本版とペーパーバック版があり、単行本版だけ 3,631 円と、電子版/ペーパーバック版より1.5倍くらい値段が高いので注意。ただ、Amazon で見る限りだと単行本版のほうが中古が出回っているので、そっちもありだと思います。
- Kindle 2,440円 https://amzn.to/3AnEdIH
- ペーパーバック 2,440円 https://amzn.to/3nKvLzF
- 単行本 3,631円 https://amzn.to/3EoAgpz
最新の動向と実務がわかる 自治体の情報システムとセキュリティ 単行本 – 2019/10/30
こちらの本は、セキュリティにとどまらない最新の技術動向を広く紹介しつつ、今後どうセキュリティの考え方が変わっていくかを考える内容になっています。ブロックチェーンなど最新の技術を扱いながらもその基本的な要素技術にも触れてくれていたり、 OA 化の歴史から遡って現在を捉えたりと、全体として解説が親切でありがたいです。自治体や公共のセキュリティを扱う本としてはこれはなかなか珍しいのではないかと思います。
また、こちらの本でも現在の公共セキュリティの輪郭を作った事案といえる、日本年金機構における不正アクセスによる情報流出事案を紹介しています。その他にも、
も取り上げています。これら(日本年金機構のを含め)3つの事案は、かなりの紙幅を使って詳細に経緯を取り扱っています。
その後に後半では、実際に情報セキュリティを構築する方法や運用についてとなります。
この本は、クラウドや AI、 RPA、キャッシュレスなどの最新技術とその活用について公共組織の観点を踏まえて扱っている点が特徴だと思います。とても勉強になりました。