脆弱性診断のプロが語る、自治体情報システムに必要なセキュリティ対策とは？

自治体は住民の個人情報など、非常に機密性の高い情報を扱う現場です。それだけに攻撃を受けることも多く、またサイバー攻撃そのものが日々巧妙化している現実もあります。

巧妙化している例としては、感染したパソコンをロックしたりアクセス制限したりするランサムウェアや、標的型サイバー攻撃などが代表的です。他にも例えば、「○○様　先日の打ち合わせに関する資料です」などの形で、関係者からのメールを装ったメールを使ってウイルスが送られてくるといった、サイバー攻撃と見破りにくいものも増えています。

自治体の各端末にウイルス対策ソフトが搭載されていても、新種のウイルスには対応できないことも多く、新たな対策をしても今度は脅威の方も新しくなるといったことの繰り返しで、100％の安全というのは難しいのが現実です。

確かに自治体では、LGWAN接続系とインターネット接続系を分離する「ネットワーク分離」が徹底されているため、グローバルネットワークから直接の脅威にさらされるということはありません。しかし、「ネットワーク分離＝絶対安全」というわけではないのです。

外部ネットワークからの脅威がなくても、内部の人間の行為によって感染が進んでしまうケースがあります。例えば、USBメモリやHDMIケーブルといった接続機器を通じて、ウイルスが侵入するケースです。接続機器にウイルス対策がされていなければ、外部ネットワークを経由しなくても、そこから入り込めてしまいます。

他には、悪意をもった人間が自治体内ネットワークの各システムにアクセスする可能性もあります。システムに脆弱性、つまりセキュリティホールがある限りは、部外者の侵入を許し、情報漏洩やサイトの改ざん、アカウント乗っ取りなどが行われてしまう可能性は捨てきれません。

WEBセキュリティ診断 | バルテス・モバイルテクノロジー株式会社

「機械診断」ではツールを使い、自動化した診断を行います。ルールに基づいたさまざまな診断を短時間で行えることが特徴です。「手動診断」は診断員がより詳細に分析を行う診断です。侵入者の視点、心理などを考え、さまざまな侵入方法を実際に試しながら行います。「機械診断」でシステム全体を広く、かつ素早く診断し、「手動診断」でポイントを絞って深く診断していく。この2つを組み合わせることで、誤検出が少なく、高い精度の診断を実現しています。

――これまでの診断実績などから、セキュリティ強化の重要性について教えていただけますか？

これまで民間企業のお客様で脆弱性診断を受けられ、「情報漏洩などの被害を受ける危険性が高い」という結果が出たケースは、実に74％にものぼります。また、初めて当社の脆弱性診断を受けられたケースでは、ほとんどのシステムで何らかの脆弱性が検出されています。

自治体の情報システムも、同様に多くのケースで脆弱性が検出されると予想されます。情報セキュリティ対策を強化し、安全に情報の管理、保持、活用を行いたい皆様は、ぜひ当社にお問い合わせいただければと思います。