QbookジャーナルQBOOK JOURNAL

脆弱性診断のプロが語る、自治体情報システムに必要なセキュリティ対策とは?

執筆者:Qbook編集部

脆弱性診断のプロが語る、自治体情報システムに必要なセキュリティ対策とは?

昨今、多くの民間企業でデジタル化が進んでいますが、公共機関でもそうした動きが高まっています。政府はデジタル庁を2021年秋までに設置する方針を明らかにしました。新型コロナウイルス禍で、デジタル化の遅れによる行政手続きの煩雑さや遅さ、各省庁の連携不足などが顕在化したことが大きな理由と考えられます。

これを受け、地方自治体や各公共機関でもデジタル化がさらに進むことが予想されますが、情報のデジタルシステム化は非常に便利である一方、サイバー攻撃などの危険とも隣り合わせです。過去の情報漏洩問題などを踏まえ、セキュリティの強化が必要となります。

自治体の情報システムに関し、どういった対策が必要かを、情報システムやソフトウェアなどの脆弱性診断の分野でさまざまな実績をもつ、バルテス・モバイルテクノロジーの堀田嘉和が解説します。

今回話を伺ったプロ

horita_prorile.png
堀田 嘉和

バルテス・モバイルテクノロジー株式会社 開発部 担当部長

大阪府生まれ。NTTデータグループのソフトウェア開発会社でシステム開発やテスト業務などに20年以上携わる。平成30年にバルテス・モバイルテクノロジー株式会社に入社。現在、システム開発とセキュリティ診断に従事している。

巧妙化するサイバー攻撃、ウイルスと一目で見破りにくいものも増加

自治体行政の現場では、どんなセキュリティ課題があるのでしょうか?

8607_00094-2.jpg

自治体は住民の個人情報など、非常に機密性の高い情報を扱う現場です。それだけに攻撃を受けることも多く、またサイバー攻撃そのものが日々巧妙化している現実もあります。

巧妙化している例としては、感染したパソコンをロックしたりアクセス制限したりするランサムウェアや、標的型サイバー攻撃などが代表的です。他にも例えば、「○○様 先日の打ち合わせに関する資料です」などの形で、関係者からのメールを装ったメールを使ってウイルスが送られてくるといった、サイバー攻撃と見破りにくいものも増えています。

自治体の各端末にウイルス対策ソフトが搭載されていても、新種のウイルスには対応できないことも多く、新たな対策をしても今度は脅威の方も新しくなるといったことの繰り返しで、100%の安全というのは難しいのが現実です。

ネットワーク分離をしていても、システムに脆弱性がある限り侵入される可能性はある

「ネットワーク分離」による対策だけでは不十分なのでしょうか?

horita_pro-1.png

確かに自治体では、LGWAN接続系とインターネット接続系を分離する「ネットワーク分離」が徹底されているため、グローバルネットワークから直接の脅威にさらされるということはありません。しかし、「ネットワーク分離=絶対安全」というわけではないのです。

外部ネットワークからの脅威がなくても、内部の人間の行為によって感染が進んでしまうケースがあります。例えば、USBメモリやHDMIケーブルといった接続機器を通じて、ウイルスが侵入するケースです。接続機器にウイルス対策がされていなければ、外部ネットワークを経由しなくても、そこから入り込めてしまいます。

他には、悪意をもった人間が自治体内ネットワークの各システムにアクセスする可能性もあります。システムに脆弱性、つまりセキュリティホールがある限りは、部外者の侵入を許し、情報漏洩やサイトの改ざん、アカウント乗っ取りなどが行われてしまう可能性は捨てきれません。

定期的な脆弱性診断で危険性を把握することが大切

システム上のセキュリティホールをなくすためには、どういった対策が必要でしょうか?

8607_00094-6.jpg

最初にシステムの脆弱性診断を実施しましょう。これで危険性を把握することが大切です。また、その時に脆弱性が検出されなかったとしても、定期的に診断を行うことをお勧めします。なぜなら、自治体の情報システムには、開発された当時は脆弱性が検出されていなくても、改修や機能追加を重ねる中で予想外のセキュリティホールが見つかるシステムも存在すると考えられるからです。

バルテス・モバイルテクノロジー株式会社では、国家資格である情報処理安全支援士を有する診断員が「機械診断」と「手動診断」の2種類の診断を組み合わせ、自治体情報システムのセキュリティ強靭化のサポートを行っています。

広く素早い「機械診断」と深くポイントを絞った「手動診断」の組み合わせ

「機械診断」と「手動診断」は、それぞれどんな手法なのでしょうか?

horita_pro-3.png

「機械診断」ではツールを使い、自動化した診断を行います。ルールに基づいたさまざまな診断を短時間で行えることが特徴です。「手動診断」は診断員がより詳細に分析を行う診断です。侵入者の視点、心理などを考え、さまざまな侵入方法を実際に試しながら行います。「機械診断」でシステム全体を広く、かつ素早く診断し、「手動診断」でポイントを絞って深く診断していく。この2つを組み合わせることで、誤検出が少なく、高い精度の診断を実現しています。

これまでの診断実績などから、セキュリティ強化の重要性について教えていただけますか?

これまで民間企業のお客様で脆弱性診断を受けられ、「情報漏洩などの被害を受ける危険性が高い」という結果が出たケースは、実に74%にものぼります。また、初めて当社の脆弱性診断を受けられたケースでは、ほとんどのシステムで何らかの脆弱性が検出されています。

自治体の情報システムも、同様に多くのケースで脆弱性が検出されると予想されます。情報セキュリティ対策を強化し、安全に情報の管理、保持、活用を行いたい皆様は、ぜひ当社にお問い合わせいただければと思います。

ライター:Qbook編集部

ライター

バルテス株式会社 Qbook編集部。 ソフトウェアテストや品質向上に関する記事を執筆しています。