「第8回:クラウド利用時のセキュリティ確保」はこちら>
「第9回:サプライチェーンのセキュリティを守るために」はこちら>
「第10回:ソフトウェア開発のセキュリティと、DX推進で留意すべき規格・標準」はこちら>
「ガバメントクラウド」利用のセキュリティ
わたしは長年、警察職員として国(警察庁)と自治体(都道府県警察)のセキュリティ対策に関わってきました。今回はその経験を基に、国や自治体におけるセキュリティ対策の現状をご紹介したいと思います。
かつて国の機関や地方自治体は、個々にシステムを構築して運用監視や保守を行っていたため、セキュリティレベルがバラバラでしたが、行政サービスの向上に資するよう独自にさまざまな工夫・システム開発が行われ、中には24時間運用のシステムも増加しています。
ミッションクリティカルな業務に用いるシステムを24時間体制で運用・保守することは非常に大変です。さまざまな行政情報を盗み出す目的でマルウェアが送付されたり、行政機関の機能麻痺を狙ったサイバー攻撃にも、それぞれの機関で対処することが求められます。
そこで、基本的な業務やデータを共通化・標準化し、「ガバメントクラウド(Gov-Cloud)」がIT基盤として構築されました。国の機関や地方自治体が同一クラウド上に共同で行政システムを構築し、開発・保守コストなどの低減を図るとともにセキュリティの向上をめざしています。国の機関におけるシステム調達時の「クラウド・バイ・デフォルト原則」の採用、「デジタル・ガバメント実行計画」の策定に続き、地方自治体においても市町村の住民票や地方税などの業務システムをクラウドへ移行するようになってきています。
「ガバメントクラウド」は、政府機関の情報システムの移行を図った「政府共通プラットフォーム」(第1期、第2期)に、地方自治体の情報システムも糾合して活用できるようにしたプラットフォームで、各種手続のワンストップ化だけでなく、セキュリティ対策に関しても配慮されています。
まず、同一構成のデータセンターを2箇所、いずれも日本国内に設置し、そのデータを国外へ持ち出すことを禁じる、としています。
次にセキュリティ評価に関しては、クラウドサービスの安全性評価制度としてISMAP(イスマップ:Information system Security Management and Assessment Program)を2021年3月に創設しました。これは政府がクラウド調達を行う際の基準を明確化したもので、「ISO/IEC(JIS Q) 27001」などを下敷きにし、米国のセキュリティ/プライバシー管理策やクラウド調達の基準を参照して作成されました。ISMAPを用いて、適切なセキュリティ水準を保持するクラウドサービス事業者を選定することにより、セキュリティの確保を図ることが目的です。
「ガバメントクラウド」上のシステムは、さまざまな業務ごとにアプリ開発事業者が作成するプログラムが稼働して住民サービスが提供されるものです。ただでさえクラウド技術者が払底している上に、利用者自身や利用者が使う端末からネットワーク、クラウドに至るすべての区間のシステムのセキュリティを確保しておかなければ、適切に情報を保護することは難しいと言えます。
DX推進の際に自治体が参考とすべく、昨年総務省が公表した「自治体デジタル・トランスフォーメーション(DX)推進計画【第 2.0 版】の中でも、サイバーセキュリティに関して、“「ガバメントクラウド」の活用を前提とした新たなセキュリティ対策”と書かれており、的確な情報保護に努めていただきたいと思います。
自由なデータ流通のための標準化やセキュリティ対策
情報の保護に関しても、種々の規定が策定されています。
米国の「NIST SP 800-171」では、政府あるいは民間でも取り扱う情報のうち管理が必要なものについては、“保護すべき情報”として格付けしています。我が国では、防衛装備庁の「防衛産業サイバーセキュリティ基準」で、同水準のものを規定しています。
日本政府は「デジタル時代の新たなIT政策大綱」(IT総合戦略本部)の中で、「プライバシーやセキュリティ・知的財産権に関する信頼を確保しながら」とはしていますが、“信頼性のある自由なデータ流通”(DFFT:Data Free Flow With Trust)の考えに基づく「国際データ流通網」の整備や、そのための国際標準化、デジタル貿易ルールの整備などをめざしています。
DFFTに関しては、G7/G20サミットや各国政府のデータ保護機関から構成される「世界プライバシー会議」などの場でも検討が進められているようですが、個人情報の保護やセキュリティの確保、さらには「ガバメント・アクセス(GA)」など、国や地域によって捉え方や法制度が異なる課題について、広く合意を得るための努力が続けられています。
特に、経済協力開発機構(OECD)では「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」が制定され、これに基づく「EU一般データ保護規則(GDPR:General Data Protection Regulation)」により欧州域外への個人データの移送が原則禁止されるなど、個人情報の的確な保護が求められていますし、GAについては、法執行機関をはじめとする政府機関が民間の保有データを「捜索差押え」のように取得することから、種々の議論が行われているようです。
もう約四半世紀も前のことになりますが、当時、わたしはG8(当時はロシアも入っておりましたのでG7ではありませんでした!)の「国際組織犯罪対策上級専門家会合(リヨン・グループ)」に設置された「ハイテク犯罪サブグループ」の会合に出席しました。トランスボーダーサーチ(国境を越えて行われるサイバー犯罪・サイバー攻撃への対処)が、その頃でも大きな課題となっていたことを思い出します。
DFFTに関しても、各国が協調した上で、それぞれの国民から信頼できるデータ保護・管理体制や制度を確立し、国民に不安・懸念を抱かせないシステムづくりが求められているのではないでしょうか。
「第12回:セキュリティ対策技術におけるAIの活用」はこちら>
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。