SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

自治体の情報システム "三層分離構成"についておさらい

  1. ホーム
  2. 技術ブログ
  3. その他
  4. 自治体の情報システム "三層分離構成"についておさらい
その他
2024.08.29

こんにちは。SB C&SのプリセールスSE 鵜重です。

本記事では、全国の自治体で導入されている"自治体情報システム強靭性向上モデル"いわゆる三層分離構成について、その概要を時系列に沿っておさらいしつつ、直近のアップデートや押さえるべき要点をご紹介したいと思います。

自治体情報システム強靭性向上モデルって?

2015年に起きた日本年金機構における情報漏えいインシデントの反省を踏まえ、自治体の情報セキュリティとネットワークの強靭化を目的に総務省が2016年に発表した自治体情報セキュリティに対するガイドラインのことを指します。
ガイドライン公開の翌年2017年には各自治体でマイナンバーの取り扱いが開始されることから、それに合わせた導入スピードが各自治体に求められました。

少し中身を掘り下げてみますと、このガイドラインには以下の記載が含まれています。

①マイナンバー利用事務系においては、原則として、他の領域との通信をできな いようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ。

②LGWAN 接続系においては、LGWAN と接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を実施する。

③インターネット接続系においては、不正通信の監視機能の強化等の高度な情報 セキュリティ対策を実施する。高度な情報セキュリティ対策として、都道府県及び市区町村のインターネットとの通信を集約した上で、自治体情報セキュリティクラウドの導入等を実施する。

文字だけだとイメージしづらいので総務省が公開している資料からイメージを抜粋します。
スクリーンショット 2024-08-29 18.07.44.png出典:総務省 "自治体情報セキュリティ対策の経緯について"
https://www.soumu.go.jp/main_content/000777002.pdf


この構成がα(アルファ)モデルと呼ばれる構成であり、全国の自治体で採用されている"三層分離モデル"のベースとなっている構成になります。読んで字の如くですが、取り扱う情報・業務形態により3層に分かれており、それぞれ

・個人番号利用利用事務系 :マイナンバーや戸籍、税金関連など重大な個人情報を扱う
・LGWAN接続系  :各自治体ネットワークを相互に閉域網で接続(LGWAN=総合行政ネットワーク)
・インターネット接続系 :インターネットアクセス可能な系統

となっています。各系統間での通信を厳格に制限することでセキュリティを向上させ、万一のインシデント発生時の被害拡大を防ぐことに主眼が置かれています。ガイドライン発表の翌年2017年7月までに対策完了が求められるという異例の導入スケジュールの結果、全国の自治体でこのモデルが採用されセキュリティインシデントの数は劇的に低減したと言われています。

αモデルの課題

一方で、各自治体の現場での運用面での負担は大きく、各接続系で複数台の業務端末を新たに設置、各接続系間を跨ってのファイル操作は必要な情報を紙に印刷してもう一度手で入力、無害化に準拠したメディアを都度使用しなければならない、無害化装置自体のパフォーマンスインパクトにより業務効率が著しくダウン、クラウドファースト原則との矛盾(利用したいクラウドサービスが使えない)といった、業務効率と利便性に関する様々な運用課題が報告されるようになりました。

また2020年頃から猛威を振るった新型コロナウイルスによる感染症拡大により、世界中でリモートワークが普及しましたが、構成上リモートワーク導入が困難といった点も大きな課題となりました。

β(ベータ)モデルって??

このような情勢下で2020年12月にガイドラインの改訂が行われ、β(ベータ)モデルが新たに提唱されました。
この内容では、上記の運用課題の改善に主眼が置かれるものとなり、LGWAN系に置かれた一部の業務システムをインターネット接続系に配置し、インターネットを用いた業務利用を認めるという内容が盛り込まれました。
インターネット接続系に配置された業務端末からLGWAN接続系端末へのアクセスは、主にVDI等によるレンダリングで無害化を担保した上で、インターネットを介したテレワークに対応したのが大きなポイントです。
業務システムをLGWAN接続系に残しつつ、業務端末をインターネット接続系にのコピー.jpg出典:総務省 "自治体情報セキュリティ対策の経緯について"
https://www.soumu.go.jp/main_content/000777002.pdf



β'(ベータダッシュモデル)って??

また、さらにこのベータモデルを推し進めたβ'(ベータダッシュ)モデルも提唱されています。
βモデルとの差は、一部の業務システムに限られていたインターネット接続系への端末移行の幅をさらに広げ、文書管理、人事給与、 財務会計等のシステムも移行対象として認められました。

スクリーンショット 2024-08-28 9.50.38のコピー.jpg

出典:総務省 "地方公共団体のセキュリティ対策に係る国の動きと地方公共団体の状況について"
https://www.soumu.go.jp/main_content/000907082.pdf



一見メリットしかないように見受けられるβ、β'モデルですが、どちらも実際に導入するには移行にあたってのネットワーク変更、VDIの追加導入や脆弱性管理、ログ管理といった高いセキュリティ要件と、新たな導入・運用コストが発生することから見送られるケースが多いようです。
2023年の総務省による調査では、都道府県・政令指定都市を除いた全国自治体の80%以上が依然としてαモデルを採用しているとの結果が示され、導入されたケースは比較的大規模な一部自治体に限られている様です。

スクリーンショット 2024-08-28 10.10.34のコピー.jpg

出典:総務省 "自治体情報セキュリティ対策の経緯について"
https://www.soumu.go.jp/main_content/000777002.pdf



α'(アルファダッシュ)モデル策定に向けて

これまでのαモデル、βモデル、β'モデルはセキュリティ強度とコスト・利便性で、それぞれ一長一短な側面がありました。また、運用課題を感じていながらも追加コストとの兼ね合いで当初からのαモデルのまま利用している自治体も多く、よりバランスの取れた現実的な構成が望まれるようになりました。

そこで、現在次期ガイドライン改定に合わせて検討が進んでいるのがα'(アルファダッシュ)モデルと呼ばれる構成です。既にガイドライン改定に向けた中間報告の中でも具体的な構成やセキュリティ要件が記載されており、最終的な改定内容として公開されるのも間近かと思われます。

このα'モデルではLGWAN接続系の中に新たにFW等によるローカルブレイクアウトの構成を取り入れ、特定のクラウドサービスに対してインターネット接続を認めるといった内容が示されています。
もちろん、より厳重なセキュリティ対策を徹底した上でとなりますが、中間報告の中で詳細に必要なセキュリティ要件が記載されています。

スクリーンショット 2024-08-28 13.59.28のコピー.jpg

出典:総務省 "令和5年度 地方公共団体における情報セキュリティポリシーに 関するガイドラインの改定等に係る検討会における 中間報告"
https://www.soumu.go.jp/main_content/000942579.pdf?_fsi=cTM1U3Re&_fsi=cTM1U3Re



特定クラウドサービスって具体的に何?

ガイドライン改定により接続が許可されるクラウドサービスですが、ISMAPクラウドサービスリストに記載のあるもの、または第三者による監査報告書などからISMAP記載のサービスと同等の基準を満たしたサービスに限られることとなりそうです。
本稿執筆時点ではAWSやMicrosoft 365、Zoom、Dropbox、Boxといったお馴染みのクラウドサービスがリストされています。

※自治体ネットワークへのMicrosoft 365利活用については弊社エンジニアによる別記事もご覧ください。
https://licensecounter.jp/engineer-voice/blog/articles/20230915_microsoft_3651.html
https://licensecounter.jp/engineer-voice/blog/articles/20230915_microsoft_365.html

スクリーンショット 2024-08-28 14.40.18のコピー.jpg

出典:総務省 "令和5年度 地方公共団体における情報セキュリティポリシーに 関するガイドラインの改定等に係る検討会における 中間報告"
https://www.soumu.go.jp/main_content/000942579.pdf?_fsi=cTM1U3Re&_fsi=cTM1U3Re



今後の自治体ネットワーク

これまでαモデル、βモデル、β'モデル、α'モデルをご紹介してきましたが、2024年5月にデジタル庁の記者会見にて河野大臣から"将来的に三層分離モデルからゼロトラストアーキテクチャの考えを導入する"といった旨の発言がなされました。

私を含め急な話に驚いた方も多かったと思いますが、この記者会見に先立っては、NISCにて"政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度)の改定内容"としてゼロトラストアーキテクチャについて規定がなされ、またこの点をガイドラインを策定した総務省側でも検討ポイントとして視野に入れていたことから、着々と下地作りが行われていたことが伺えます。

今後は主にデジタル庁が主導すると目されていますが、国が導入を進めているGSS(ガバメントソリューションサービス)を参考にしつつ、多くの自治体がLGWAN系更新を迎える2029年〜2030年頃を目標にゼロトラストアーキテクチャの考えを自治体にフィットした形にして導入を目指すようです。

スクリーンショット 2024-08-28 14.49.00のコピー.jpg

出典:総務省 地方公共団体のセキュリティ対策に係る国の動きと地方公共団体の状況について
https://www.soumu.go.jp/main_content/000907082.pdf

おわりに

今回はαモデルから始まったガイドライン改定の大まかな内容と、各モデルの概略をご紹介しました。また改めて別記事にて、それぞれのモデルで導入可能な具体的なソリューションやJ-LISにまつわる話題、令和7年度に導入が見込まれる第5次LGWANおよびガバメントクラウドの動向等々について触れていきたいと思います。本内容が皆様の情報キャッチアップの一助になれば幸いです。



◾️ご参考

総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月発表)
https://www.soumu.go.jp/denshijiti/jyouhou_policy/
総務省 令和5年度 地方公共団体における情報セキュリティポリシーに 関するガイドラインの改定等に係る検討会における 中間報告
https://www.soumu.go.jp/main_content/000942579.pdf?_fsi=cTM1U3Re&_fsi=cTM1U3Re
デジタル庁 河野大臣記者会見(令和6年5月31日)
https://www.digital.go.jp/speech/minister-240531-01
ISMAPクラウドサービスリスト
https://www.ismap.go.jp/csm?id=cloud_service_list

他のおすすめ記事はこちら

自治体におけるMicrosoft 365の利活用紹介

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
 
鵜重 翔一

 

Related Posts

関連記事