ブログ

  • 2024/12/26

【2024年10月改定!】地方公共団体向けガイドラインについて解説!

こんにちは。「FinalCode」製品担当です。
さて、2024年10月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」が改定されました。
従来のネットワーク構成モデルに加えて、新たに「α′モデル」が規定されるなど、様々な変更箇所があります。

今回は「地方公共団体における情報セキュリティポリシーに関するガイドライン」の主な改定箇所について、特に「α′モデル」について解説し、弊社製品で実現が可能なセキュリティ対策をご紹介します。

情報セキュリティイメージ

1. 「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは

「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは、総務省が都道府県および市区町村など、各地方公共団体向けに情報セキュリティポリシーの策定や見直しを行う際の参考として、情報セキュリティポリシーの考え方及び内容について解説したガイドラインです。

このガイドラインが2024年10月に改定されました。各地方公共団体がサイバー攻撃や情報漏えい防止におけるサイバーセキュリティを強化するための内容が盛り込まれており、大きな変更点としては4つあります。

■クラウドサービスの利用に対する対応

地方自治体のネットワーク構成モデルにおいて、従来のαモデル、β、β′モデルに加えて、「α′モデル」が規定されました。

■業務委託先管理の強化

地方公共団体が業務委託において講じるべき措置や委託事業者に求める対策が規定されました。

■サイバーレジリエンスの強化等

政府統一基準の改定を踏まえ、DDoS攻撃への対策強化や動的アクセス制御の実施などについて規定されました。

■機密性分類基準の見直し

国の機密性分類との対応関係を明確にすることを目的に、機密情報の種類が国の機密性分類を参考に細分化されました。政府機関における機密性2と同等となる機密性3B・3Cに該当する情報をパブリッククラウドで取り扱う場合は、ISMAP登録サービスを利用する必要があると規定されました。

以上、情報セキュリティに関わる様々な箇所が改定されました。

2. 新たなネットワーク構成モデル「α′モデル」とは

特に注目度の高い改定箇所として、「α′モデル」の規定があります。

規定の背景として、2020年のガイドライン改定から推奨されていた、β、β′モデルでは主に地方自治体で業務に利用されるLGWAN接続系に配置していた業務端末や情報資産をインターネット接続系に配置する必要があり、ネットワークの構築や運用方針の見直し、移行コスト等様々なハードルがあり、導入が進みませんでした。

そのため現在も自治体の多くが従来のαモデルを利用しています。ですが、近年急速に成長したクラウド技術の利用やコロナ化で普及したテレワークによって、従来のαモデルよりもより柔軟なネットワーク構成が求められるようになっており、新たなネットワーク構成モデルが必要となっておりました。

このような背景から、現在利用している自治体の多いαモデルにて、LGWAN接続系からローカルブレイクアウトを行い、特定のクラウドサービスであれば利用することができる「α′モデル」が新たに規定されました。

■「特定のクラウドサービス」とは

「α′モデル」において、自治体が必要としている特定のクラウドサービス(コミュニケーションツール等)の利用が許可されました。しかし、特定のクラウドサービスを利用するためには、そのサービスがISMAP登録サービスである必要があります。

ISMAP(Information system Security Management and Assessment Program)とは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。

  1. 参考:ISMAPポータル - ISMAP概要

このISMAPに登録されているサービスであれば、LGWAN接続系から直接接続することができ、業務効率の向上を期待することができます。

しかし、いくらISMAPに登録されてあるサービスを利用するとはいえ、LGWAN接続系からネットワークに接続するとセキュリティリスクが上がることが予測されます。
そのため、ガイドラインでは利用するクラウドサービスの範囲に応じたセキュリティ対策が必要だとしています。

情報セキュリティイメージ
出典: 「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和6年10月版)」(総務省) より弊社作成 (PDF)

「α′モデル」を用いて、クラウドサービスを利用する際には、その利用するサービスごとにセキュリティリスクの大きさを把握し、大きさに応じてガイドラインで求められている対策を講じることが大切です。

3. 「α′モデル」で求められるセキュリティ対策とは

では、「α′モデル」においてどのようなセキュリティ対策が必要なのでしょうか。
「α′モデル」では、LGWAN接続系より特定のクラウドサービスを利用するためにネットワーク接続をするため、従来よりも出入口の対策やサービス利用時の認証対策、LGWAN接続系内の機密情報管理が必要となります。

■出入口の対策

出口対策として、ガイドラインでは接続先制限などが挙げられています。LGWAN接続系から外部へのアクセス先を利用が許可されたクラウドサービス等に限定することが求められています。
また、入口対策としてはメール/ファイルの無害化等が求められています。メールやデータをLGWAN接続系に取り込む場合は、危険因子をファイルに含まれていないことを確認する等の対策をするように記載されています。

デジタルアーツでは、このような出入口対策を実現する製品として「i-FILTER」と「m-FILTER」を提供しております。
「i-FILTER」では、安全と確認されたWebサイトにのみアクセスさせるだけでなく、利用するWebサービスを制御する機能も有しています。
「m-FILTER」は、安全なドメインとIPアドレスの組み合わせと確認されたメールだけを受信する環境を提供します。

また、「i-FILTER」と「m-FILTER」はオプションにて「Anti-Virus & Sandbox」機能を提供しており、ガイドラインのメール/ファイル無害化対策にて要件となっている「危険因子がファイルに含まれていないことを確認」に沿った機能を提供します。

■サービス利用時の認証対策

その他に対策すべき事項として、ガイドラインでは「権限管理」や「アクセス制御」などが挙げられています。
特定のクラウドサービス利用が可能になった「α′モデル」では、新たにアカウントの乗っ取り等のリスクが発生することが考えられます。そのため、ガイドラインでも求められているような「権限管理」や「アクセス制御」が必要となります。

デジタルアーツでは、IDaaS製品として「StartIn」を提供しております。
「StartIn」では、ワンタイムパスワードやスマホの生態認証などの一般的な認証方式に加え、デジタルアーツ独自の「位置情報認証」「第三者認証」「定期認証」で強固に権限管理とアクセス制御を実現します。

また、「StartIn」から証明書を発行することも可能となっております。

■機密ファイルの管理

最後に、「α′モデル」では従来のネットワーク構成モデルと比べた時、ネットワークに接続しているため、LGWAN接続系内の機密ファイルが狙われる可能性が高まります。
そのため、LGWAN接続系内の機密ファイルの管理が重要となります。

デジタルアーツでは、ファイルセキュリティ製品「FinalCode」を提供しております。
「FinalCode」は電子政府推奨の暗号化技術を用いて堅牢にファイルを守るだけでなく、通常のファイルセキュリティソリューションにはない独自の機能で、利便性高く重要情報を守ります。

ファイルセキュリティ

① 守る

閲覧権限をメールアドレスで指定し、特定のユーザーのみがファイルを開くことが可能です。万が一、ファイルを第三者に共有されてしまったとしても、閲覧権限の無いユーザーはファイルを開くことができないため、機密情報の流出を防止することができます。

また、ファイルをフォルダーに格納する際に自動で暗号化することも可能なため、職員に暗号化を意識させずにファイルを守ることができます。

② 追跡する

手元を離れたファイルに対して「いつ、だれが、どんな操作をしたか」のログを確認できます。権限の無いユーザーからのアクセスがあった場合はファイルの作成者に通知をすることが可能なため、不正アクセスを早期に検知できます。

③ あとから消せる

「FinalCode」で暗号化したファイルは、遠隔で削除することができます。 閲覧権限の無いユーザーがファイルを開こうとした場合に自動でファイルを削除することも可能なため、悪意のあるユーザーの手元にファイルが残ってしまう心配はありません。

デジタルアーツのセキュリティ対策製品は全て「ISMAP登録済み/登録中」となっております。
ぜひ安心・安全なデジタルアーツ製品で「α′モデル」への対策をご検討ください!

  1. ※「StartIn」は2024年12月時点で、2025年3月での登録を予定しております。

03-5220-3090平日 9:00~18:00(土・日・祝日、弊社指定休業日除く)

- 弊社製品の海外でのご利用について

資料請求・お問い合わせ

お問い合わせ・資料請求

14日間無料試用版ご利用の申込み

このページの先頭へ