J-LIS2022 シーイーシー出展レポートVol.1 ～ガバメントクラウドを見据えた「自治体DXの推進とセキュリティ対策」～

2023年2月13日

地方自治情報化推進フェア2022 シーイーシー出展レポートVol.1 ～ガバメントクラウドを見据えた「自治体DXの推進とセキュリティ対策」～

地方自治情報化推進フェア2022 出展レポートVol.1

2022年11月1日～2日、幕張メッセで「地方自治情報化推進フェア2022」が開催されました。『「いつでも、どこでも」から「誰でも」の世界へ』をテーマに、自治体DXを推進するソリューション展示や有識者セミナーが行われ、地方公共団体の関係者を中心に、大勢の人々が訪れました。

本記事では、ガバメントクラウド移行を見据えた「自治体DXの推進とセキュリティ対策」を、元京都府CIO兼CISO 情報政策統括監の原田智氏が解説したベンダープレゼンテーションの様子と、シーイーシーのセキュリティに関するブース展示をレポートします。

元京都府 CIO兼CISO 情報政策統括監原田氏が解説！自治体DXの推進とセキュリティ対策

地方自治体の基幹業務システム標準化に向けて、政府の共通クラウド基盤「ガバメントクラウド」をめぐる動きが活発化しています。2023年度からの本格移行期を前に、自治体はどのような備えをすればよいのでしょうか？

11月2日のベンダープレゼンテーションでは、元京都府CIO兼CISO 情報政策統括監の原田智氏をお招きし、京都府内の市町村の業務システム共同化を実現されたご自身の経験も踏まえながら「自治体DXの推進とセキュリティ対策」についてご講演いただきました。

自治体DXとシステム標準化の現状

生産年齢人口が減少し、自治体でも望む人材の確保が困難になる一方、住民の行政サービスへの期待値は高止まりしています。今後は「誰がやっても高い生産性を確保できるような仕事のやり方に変えていくことが必要です」と原田氏。そのためのシステム標準化であり、DX実現だと話します。

デジタル庁の「地方公共団体情報システム標準化基本方針」には、2025年度までにガバメントクラウドを活用した標準準拠システムへの移行を目指すことが明記されています。2022年9月には、ガバメントクラウド先行事業の検証状況が中間発表されました。

中間発表では、現行システムの利用形態によって、コスト削減効果の差が生じています。単独でデータセンターを利用している自治体では削減効果が大きく、京都府笠置町のように、すでに国の取り組みに先行してシステム共同化を実現していた自治体ではコスト増となっています。原田氏は、今後のさらなる検討に期待を寄せました。

今後、システム標準化にはどのような課題があるのでしょうか。原田氏は、その代表例として「予算化」に言及。自治体では予算審議が通らないと着手できませんが、ベンダーが2025年度までの3年分の費用を見積もるのは難しいのが現状です。「思いきり高額か、条件を盛り込んだ見積書になりかねません」（原田氏）。

その理由として挙げられるのが、ベンダー側の不安要因の多さです。仕様の自由度が高すぎること、要件が追加される“後出しジャンケン”を警戒せざるを得ないこと、働き方改革の影響で、ベンダーが要員を確保しづらくなっていることから、見積もりの提示が困難になっています。今後クラウド化が進むと、自治体システム市場全体の先細りが懸念されるため、“将来的な利益を見込んでとにかく受託する”という形も現実的ではありません。

「最大の問題となるのが損害賠償です。特に、データ移行では、現行システムで整備できずに放置されていた古いデータが復活して悪影響を及ぼすことがあり、損害賠償に発展する例も多くあります。そうした点も含めて、ベンダーによっては厳しい見積もり対応になります」（原田氏）。

見積もりが提示されなければ来年度からの事業化ができず、一方で高額な見積もりが提示されれば財源問題が浮上する恐れがあります。「おそらくデジタル庁にてなんらかの対応がされると思いますが、かなり難しい局面になる可能性があります」（原田氏）。

他にも、経済安全保障や離島・山間地のネットワーク環境整備など、課題は山積しています。原田氏は「これから年末に向けてかなり動きがあると思います。皆さんも大変だと思いますが、状況をよくウォッチして対応する必要があります」と会場に語りかけました

自治体業務に潜むセキュリティリスク

講演後半のテーマは「セキュリティ」です。自治体を取り巻くセキュリティの現状はどのようになっているのでしょうか。

原田氏は、ランサムウェアの増加を指摘。データを暗号化して身代金を要求する従来型だけでなく、詐取データの外部公開を引き換えに身代金を要求する二重恐喝型・暴露型も登場しています。これまでの標的型攻撃からVPN（Virtual Private Network）へと、侵入経路も移っています。

「自治体も狙われています」と原田氏。2019年5月、米国ボルチモア市役所では、多数のコンピューターがランサムウェアに感染し、市役所業務が約1カ月停止しました。日本国内でも、2021年から2022年にかけて、委託先、外郭団体、学校での被害が相次いで発表され、ターゲットが徐々に自治体に近づいています。

具体的に、どのようなセキュリティリスクに警戒すればよいのでしょうか。原田氏は「αモデルにもリスクは潜んでいます」として、3つのリスクを挙げました。

＜3つのセキュリティリスク＞

データ連携に潜むリスク
運用管理、機器管理に潜むリスク
その他自治体業務に潜むリスク

自治体は、業務効率維持のために、LGWAN接続系とインターネット接続系で多くのデータを連携させています。そこに発生するのが「データ連携に潜むリスク」です。データ連携時にランサムウェアに侵入されないよう、慎重な運用が必要です。

特に警戒するべきなのが「運用管理、機器管理に潜むリスク」です。システムの異常監視、メール通報、遠隔操作などのための運用・管理セグメントで、インターネット経由で通信する際にリスクが発生します。最近は、通信機器がソフトウェア化し、その脆弱性を突かれるケースも多発。ルーターなどのセキュリティ設定を見直すことが非常に重要です。

「その他自治体業務に潜むリスク」としては、委託先とのファイル交換、他の自治体からの感染拡大、職員のテレワークや不注意にともなうリスクが挙げられます。

DX時代のセキュリティ対策とは

こうしたリスクに対して、自治体はどのようなセキュリティ対策を行えばよいのでしょうか。原田氏は、「隔離（三層分離）」「境界型」「ゼロトラスト」を組み合わせて行うことが重要だと話します。

「隔離が最大のセキュリティ対策です。社外に絶対漏らしてはいけない重要情報は、金庫にしまう。それはデータもお金も一緒です」（原田氏）。

境界型は、信頼できる「内側」と信頼できない「外側」の境界線で対策を実施します。従来のセキュリティ対策の基本と言えますが、テレワークやモバイルワークでの対応には不安があるのも現実です。「職場の中で固定して運用していればよいですが、人が減っていくこれからの時代は、いつでもどこでも仕事をするように変わっていかざるを得ません」（原田氏）。

そこで必要になるのが、クラウドやテレワーク時代に対応し、何も信頼しないことを前提に対策する「ゼロトラスト」です。ただし、エンドポイントの不審な挙動を検知するEDR（Endpoint Detection and Response）は、運用負荷の高さが課題となります。

「EDRは、ある程度の誤検知が避けられません。誤検知を恐れずに通報しないと肝心なものが抜けてしまう可能性があるからです。そのたびにネットワークを止めて対応していられないので、SOC（Security Operation Center）支援を含めて専門集団のお世話にならないと、エンドポイントセキュリティはなかなか実現できないと思います」と原田氏。

京都府のSOC支援を受託しているのが、シーイーシーが提供するCEC SOCです。「後発であまり名前を知られていないかもしれませんが、しっかりと対応いただいています。24時間365日、日本人のエンジニアが対応してくれます。かつ、リーズナブルで、ありがたいと思っております」と原田氏はCEC SOCを評価。