(-> % read write unlearn)

My writings in this are my own delusion

自治体の情報セキュリティと三層分離

日本の地方自治体に特有のネットワーク構成である LGWAN や要件である 三層分離 について改めて勉強するために2冊の本を読んだので記録をまとめます。

LGWAN とは、総合行政ネットワーク (Local Government Wide Area Network) の略です。

J-LIS 目的及び基本方針

地方公共団体の組織内ネットワーク(以下「庁内LAN」という。)を相互に接続し、地方公共団体間のコミュニケーションの円滑化、情報の共有による情報の高度利用を図ることを目的とする、高度なセキュリティを維持した行政専用のネットワークです。

自治体だけでなく、地方公共団体に広く利用されています。中央政府については LGWAN は使っておらず、似た用途のもの(しかし全くべつもの)として 政府共通 NW (G-NET) というものがあります。

これで万全!自治体情報セキュリティ~攻めるなら守ってみせよう情報資産~ オンデマンド (ペーパーバック) – 2021/6/1

情報セキュリティとはなにかという基本から始まり、情報セキュリティポリシーについて解説されています。また、セキュリティ関連法案や公共系のセキュリティ事案(インシデント)について代表的なものを取り上げて紹介しています。セキュリティの組織体制の構築の仕方やその組織とポリシーの運用についてもそれぞれ独立した章が割かれています。

以下メモ。

  • 情報システム強靭化対策
    • 平成27年日本年金機構の情報流出事案を受けて自治体情報セキュリティ対策チームが結成され報告書が作成。それに基づき情報セキュリティ体制の強化進められた。
    • その強化策の1つが、いわゆる三層分離という、取り扱う情報に応じて NW セグメントを完全に3つに分離するという NW 設計。インターネットに繋がる NW とそれ以外に分けるのではなく、3つに分けているところに実用性を重視した考慮を感じるとともにかえって運用が大変そうな印象もうける。
  • 三層分離
    • 1) 中間サーバや団体内統合宛名が接続し、個人番号(マイナンバー)利用事務を行う「個人番号利用事務 LAN 」(基幹系システム LAN)
    • 2) LGWAN メールや財務会計、文書管理システムが接続し、個人番号関係事務を行う「 LGWAN」(情報系システム LAN)
    • 3) インターネットに接続し、外部メールや ASP サービスなどのパブリッククラウドサービスなどを利用する「インターネット接続 LAN
  • これらのネットワークセグメントをわけ、ネットワークを介したデータやファイルのやりとりを禁止する。
  • しかし、当然データやファイルを相互にやりとりしなくてはいけないことはある。住民からオンライン申請でインターネット経由で送信された手続きの処理にマイナンバーが必要になる、とか。そんなときどうするか?その1つが「無害化」。
  • 無害化(ファイル無害化)
    • インターネットメールサーバのメール本文のみ抽出したり、 VDI などの仮想化環境を使うことで、仮想化環境から転送された画面を操作して Web を参照可能とする方法、などの方法が例示されている。
    • 書籍中では触れらていないようだが、ファイル無害化のソフトを提供する会社もあり、そういったソフトの処理を経由することで悪意のある(可能性のある)ファイルを改変し文字通り無害化する方法もあるようです。
      • 例えばマクロ付きの Excel ファイルからマクロを除去したり、と言った処理は典型的な無害化の方法なのではないかと思います。

この本は、電子版と単行本版とペーパーバック版があり、単行本版だけ 3,631 円と、電子版/ペーパーバック版より1.5倍くらい値段が高いので注意。ただ、Amazon で見る限りだと単行本版のほうが中古が出回っているので、そっちもありだと思います。

最新の動向と実務がわかる 自治体の情報システムとセキュリティ 単行本 – 2019/10/30

こちらの本は、セキュリティにとどまらない最新の技術動向を広く紹介しつつ、今後どうセキュリティの考え方が変わっていくかを考える内容になっています。ブロックチェーンなど最新の技術を扱いながらもその基本的な要素技術にも触れてくれていたり、 OA 化の歴史から遡って現在を捉えたりと、全体として解説が親切でありがたいです。自治体や公共のセキュリティを扱う本としてはこれはなかなか珍しいのではないかと思います。

また、こちらの本でも現在の公共セキュリティの輪郭を作った事案といえる、日本年金機構における不正アクセスによる情報流出事案を紹介しています。その他にも、

も取り上げています。これら(日本年金機構のを含め)3つの事案は、かなりの紙幅を使って詳細に経緯を取り扱っています。

その後に後半では、実際に情報セキュリティを構築する方法や運用についてとなります。

この本は、クラウドや AI、 RPA、キャッシュレスなどの最新技術とその活用について公共組織の観点を踏まえて扱っている点が特徴だと思います。とても勉強になりました。