マイナンバー制度の施行は、自治体にセキュリティ上のリスクももたらす。異なる自治体間でのデータ連携が頻発するからだ。富士電機と日本IBMは2016年2月15日、「自治体情報セキュリティクラウド」の構築で協業を発表した。総務省による自治体クラウドのセキュリティ対策強化要請を受けてのものだ。
今回の新サービスは、富士電機の自治体クラウドの導入経験、行政業務ノウハウと、IBMの持つ世界レベルのセキュリティ情報、高度なセキュリティ監視・解析技術を組み合わせて「自治体情報セキュリティクラウド」を構築するというものだ。
一般的に、セキュリティ対策を強化することにより、業務の効率運用に支障をきたす場合が多いことを受けて両社は、サイバー攻撃への対応を広範囲にカバーする高度なセキュリティ対策と、職員の行政業務の効率・利便性を両立させる、バランスの優れたネットワーク環境を実現するための「自治体情報セキュリティクラウド」を構築するとしている。
マイナンバー制度の本格運用に伴い自治体間の情報連携が増加することを受けて総務省では、自治体の情報セキュリティ対策強化に取組んできた。2015年11月には、「新たな自治体情報セキュリティ対策の抜本的強化に向けて」という報告書を公開している。
総務省は、自治体の財政難やベンダーロックインからの脱却を理由に、コストを大幅に削減できる「自治体クラウド」を積極的に推進してきた。しかし、マイナンバーが施行されると、異なる自治体間での、ネットワークを介したデータのやり取りが一気に増加し、セキュリティリスクも高まる。
規模や財政状態によりセキュリテイに投資できる予算が異なるため、各自治体のセキュリティレベルには差がある。セキュリティレベルの低い自治体が狙われれば、ネットワークでつながるすべての自治体がリスクにさらされることになるからだ。この辺の事情は、子会社や支社、支店を持つ民間企業にも相通じるものがある。
これを受けて報告書では、「3層の構えで万全の自治体情報セキュリティ対策の抜本的強化」を行うよう自治体に求めている。1層目は、住民情報の流出を徹底して防ぐために、マイナンバーがらみの事務系システムと他の領域の間の通信を不可能にする。合わせて、端末からの情報持ち出し不可設定や、端末への2段階認証(2要素認証)の導入を図るべきとしている。
2層目は、自治体の専用ネットワークである「LGWAN環境」とインターネット回線の分割。財務会計などLGWANを活用する業務システムと、Web閲覧やインターネットメールなどのシステムとの通信経路を分割、両システム間での通信の際には、ウイルス感染のない無害化通信を図ることとしている。
3層目として提言しているのが、都道府県と市区町村が協力してインターネット接続口を集約して、そこに高度なセキュリティ対策を講じる「自治体情報セキュリティクラウド」の構築だ。規模の大小にかかわらず、県下のすべての自治体が同じレベルのネットワークセキュリティ対策を講じることができるというものだ。
そのため、本クラウドサービスは都道府県単位で導入することになる。インターネット経由で受領した外部からのメールや電子申請などに添付されたファイルから、標的型攻撃などのセキュリティ脅威を取り除き「無害化」する独自の「メール・ファイル無害化処理サービス」を組み込んだサービスだ。これにより、外部からの添付ファイルを安全な状態で、簡単に利用できるようになるとしている。