2024年5月31日に行われたデジタル庁の会見において、自治体ネットワークの「三層の対策(三層分離)」を今後段階的に廃止し、「ゼロトラストアーキテクチャ」へ移行していく方針を示したことが大きな話題となりました。
「三層分離」は、2015年に発生した日本年金機構の情報漏えい事故の後、総務省の指導によって、各自治体が実施したネットワークセキュリティ対策で、自治体内のネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3セグメントに分離することで住民情報等の情報漏えいを防止する仕組みです。
この「三層の対策(三層分離)」モデルの導入によって、自治体のセキュリティ対策は大幅に強化されたといわれていますが、一方ではその代償として「職員の利便性低下」が指摘されるようになりました。
住民情報に関連した業務では「マイナンバー利用事務系」の端末、一般事務作業を行う際には「LGWAN接続系」の端末、メールを送受信する際には「インターネット接続系」に接続された端末を使用するなど、端末を使い分ける必要があり、業務効率の低下が問題になっていました。
また、異なるネットワークに接続された端末間でデータをやり取りする際には、USBメモリを使う必要があり、本来はセキュリティ強化のために導入した「三層分離」が、USBメモリ経由のマルウェア感染のリスクを高めることも指摘されています。
こうした課題を解決するため、総務省では既存のネットワーク体系を見直し、当初の三層分離モデルを「αモデル」と定義した上で、その発展形として「α’モデル」「βモデル」「β’モデル」などを提示し、一部の自治体においては、既に庁内ネットワークの見直しが始まっています。
「βモデル」については、都道府県を中心に導入が進展し、職員は主に「インターネット接続系」の端末によって業務を行い、「LGWAN接続系」のシステムを利用する際には、LGWAN上の仮想デスクトップサーバ等を経由して、デスクトップ環境の画面データのみを「インターネット接続系」端末に転送して使用します。
このような取り組みによって、万一「インターネット接続系」の端末がマルウェアに感染した際にも、その影響が「LGWAN接続系」に及ばない仕組みを構築しています。
「βモデル」では、職員は「LGWAN接続系」と「インターネット接続系」を同一の端末から利用することが可能になり、利便性が大幅に向上するとともに、近年自治体において導入が進むクラウドサービスの利用や、リモートワーク等の新たな働き方にも対応できるとしています。
さらに現在では、「βモデル」の考え方をより前進させ「マイナンバー利用事務系」を除く、業務端末・業務システムをインターネット接続系に移行した、「β’モデル」の導入を検討する自治体も存在しています。
一方では「αモデル」から「βモデル」「β’モデル」への移行には、かなりの時間と労力、導入費用が必要となるため、小規模な自治体では別の選択肢として「α’モデル」への移行を検討するところも増加しています。
「α’モデル」では、「αモデル」の構成を基本的に踏襲しながら、「LGWAN接続系」ネットワークから「ローカルブレイクアウト」と呼ばれる仕組みを利用して、特定のクラウドサービスに直接アクセスすることで、「βモデル」「β’モデル」より低廉な運用コストで、クラウドサービスの利用が可能になります。
「α’モデル」の最大の特長は、LG-WAN系ネットワークから特定のクラウドサービスへの直接接続を可能にする「ローカルブレイクアウト」の採用で、この仕組みによって、自治体は「LG-WAN ASP」を経由せずにクラウドサービスに直接アクセスできるようになります。
ただしエンドポイントセキュリティの強化が必要な点は「βモデル」「β’モデル」と同様で、「α’モデル」を採用する際には「EDR(Endpoint Detection and Response)」と呼ばれる、エンドポイントにおける不審な挙動を検知し、対応を支援するセキュリティソリューションの導入が推奨されています。
自治体のネットワーク体系は、これまで「三層の対策(三層分離)」を堅持してきましたが、デジタル庁・総務省では、中長期的には「三層分離」モデルから脱却を図り、「ゼロトラストアーキテクチャ」へ全面的に移行することを提唱しています。
総務省では、令和5年3月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を改定し、「ゼロトラストアーキテクチャ」の導入を推奨していますが、このガイドラインでは、クラウドサービスの利用やセキュリティ対策の見直しが求められています。
「ゼロトラストアーキテクチャ」は、「信頼がゼロ」という前提に基づき、内部・外部を問わず全てのアクセスを検証するセキュリティモデルですが、従来の「境界型防御」に加えて、端末防御やアクセス制御を強化することで、内部からの脅威にも対応可能にする仕組みです。
今後の動向としては、中央省庁や自治体のシステムを「ガバメントクラウド」と呼ばれる共通クラウドプラットフォームに集約することで、デジタル化の推進と強靭なセキュリティ対策を両立させ、全ての自治体が利用できる環境の実現を目指しています。
また、これと並走するかたちで、全国の各府省を共通ネットワークで接続する「GSS(ガバメントソリューションサービス」構想によって、従来の境界型ネットワークセキュリティの在り方を見直し、「ゼロトラストアーキテクチャ」に移行する必要があるとしています。
新型コロナウイルス感染症への対応で、自治体間の連携不足や非効率な手続きが明らかになりましたが、自治体システムの標準化によって、自治体ごとに異なる情報システムを統一し、効率的な行政運営の実施と住民サービスの向上を図ることが可能になります。
デジタル庁・総務省では、自治体の情報システムの標準化を推進し、効率的な行政運営を目指していますが、これによって自治体間のシステムの互換性が高まり、情報共有が円滑に行われると思われます。
また、ガバメントクラウドの構築によって、データの一元管理を可能にすることで、自治体間の情報共有が促進され、今後は行政サービス・住民サービスの連携も可能になることが期待されています。
「ゼロトラストアーキテクチャ」は、従来の境界型防御に加えて、内部からの脅威にも対応するため、全てのアクセスをリアルタイムで検証することで、情報漏えいの防止や不正アクセス対策を強化する仕組みです。
ゼロトラスト体制の確立に向けては、現状のセキュリティ評価から始まります。既存のセキュリティ体制を詳細に分析し、脆弱性や改善点を特定することによって、ゼロトラストの導入に向けた具体的な課題が明確になります。
そして、セキュリティポリシーの策定と必要な技術の選定を行います。「ゼロトラストアーキテクチャ」の原則に基づいたポリシーを策定し、適切な技術を選定することで、セキュリティ強化を図ることができます。
セキュリティ強化策の事例としては、「マイクロセグメンテーション」や生体認証等による「多要素認証」の導入が考えられますが、これによって、ネットワーク内の各セグメントが独立し、攻撃の拡散を防止することが可能になります。
また、ゼロトラスト導入において、既存システムとの整合性を保つことは不可欠な要件です。既存のインフラの活用とともに、新たなセキュリティモデルを構築するには、段階的な導入やテスト環境の構築が必要となります。システムの安定性を確保すると同時に、ゼロトラストの効果を最大限に引き出すことに繋がると思われます。
業務システムの継続性・安定性を確保すると同時に、ゼロトラストの効果を最大限に引き出すためには、既存のシステムとの整合性確保が求められるため、現有のシステムを運用するシステムベンダーに技術的サポートを打診するなど、専門的知見を保有する事業者の支援を得ることで、導入プロセスが円滑化するのではないでしょうか。
これまで、我々は「三層の対策(三層分離)」によって、情報システムを業務ごとに分離する「業務分類」をベースにセキュリティ対策を実施してきました。しかし今後は、「ゼロトラストアーキテクチャ」の概念に基づき、「業務分類」から「情報分類」へと考え方を見直す必要があるのではないでしょうか。
「機微情報等の情報資産を守るエリア」と「公開を許容する情報資産を扱うエリア」を分離して管理し、ネットワーク経路の全てを疑い、信頼できるものと確認してからアクセスを許可する、つまり多要素認証や個別IDによるアクセスを確立し、証跡管理をすることがゼロトラストの仕組みづくりに不可欠と思われます。
いま、我々が守るべきは「情報資産」であり、最も重要なのは「機密性 (Confidentiality)」の確保です。
そして、「機密性」とは、許可されていない個人、サーバプロセス(アプリケーション)、グループやAPI外部連携、コンソールアクセスなどのアクセス主体となる操作者には、情報を使用不可又は非公開にする特性のことです。
これこそが、全てのアクセスを「決して信頼せず、常に検証する」ことを基本として、利用者や端末をアクセス主体と考え、様々な情報資産へのアクセスを認証コントロールする、「ゼロトラストアーキテクチャ」の本質ではないでしょうか。
VUCA時代に再考する情報化施策の本質
執筆者:NPO法人 地域情報化推進機構 副理事長
ITエバンジェリスト/公共システムアドバイザー
野村 靖仁(のむら やすひと)氏
