重要情報の扱いを考え直す（第1回）自治体から民間へ、情報セキュリティ強化待ったなし

　マイナンバーの活用が本格化を迎えつつある現在、補助金によって各自治体はどのようなセキュリティ強化策を講じたのだろうか。まず、ネットワーク分離については「仮想化」技術を導入するケースが目立つ。これは、1台のハードウエアを論理的に分割して運用するもので、端末にデータを残さない仮想デスクトップ環境でインターネット接続し、サイバー攻撃やマルウエア感染から切り離されているマイナンバー系のシステムを防御する。

　物理的に複数の端末を使い分ける方法もあるが、管理の負担や設置スペースの増加、使い分けによる業務効率低下といったデメリットもあり、導入例は少ないようだ。仮想化ソフト大手のVMwareは、47都道府県のうち、34の自治体が仮想化環境でのインターネット分離を採用したと発表している。

　一方、セキュリティクラウド導入の背景には、これまで各自治体が独自に取り組んできた対策に限界があることが挙げられる。税金を主な財源として運営される自治体の財政状況は総じて厳しい。予算や人材の確保が難しいのが現実だ。

　そこで、さまざまなリスクの発生原因となるインターネット接続口を都道府県単位に集約し、対策機器の導入や監視を一元的に行うことにしたのである。各都道府県では2016年度に、急きょ構築、運用を担う企業を公募した。選定された企業は、それぞれの自治体がめざす安全なインターネット環境の構築、運用に向けた取り組みを進めている。

今後は自治体レベルのセキュリティが民間にも幅広く展開

　マイナンバー導入に伴う一連のシステム構築は、その重要性とスケールの大きさからさまざまな産業、とりわけIT業界に「マイナンバー特需」とも呼ばれる活況をもたらした。その一方で、企業が今後考えるべきセキュリティ対策を浮き彫りにした。中でも深刻なのが高度化、巧妙化するサイバー攻撃への対応である。

　サイバー攻撃には、一度に大量のアクセスを集中させるDDoS攻撃、不正アクセスデータ改ざんなど、システムの停止もしくは破壊を狙う攻撃、ターゲットに気付かれることなく長期間侵入し、目的のデータをひそかに盗み出す攻撃などさまざまな種類があり、それらをすべて防ぐのは非常に難しくなりつつある。

　現在のところ、マイナンバーの大規模な流出事件はそれほど発生していないが、今後、情報連携で多くの組織がマイナンバーを利用するようになった場合、完全に防げるかどうかは不安な部分もある。

　被害が発生してから対策を講じるのでは意味がない。自治体のセキュリティ強化を担う受託企業は、常に最新の脅威情報を把握するとともに、万一攻撃を受けても被害を最小限に食い止めるための技術開発を継続的に行っている。これらの技術は自治体に限らず、セキュリティレベル向上の有効な手段として民間企業にも展開されていくことだろう。