◎「自治体情報システム・セキュリティ強靭性向上
1．サイバーセキュリティ対策概要
　・サイバーセキュリティ基本法
　・世界最先端ＩＴ国家創造宣言、サイバーセキュリティ戦略
2．総務省などガイドライン
（総務省）
　・地方公共団体における情報セキュリティポリシーに関するガイドライン
　・標的型攻撃に係るインシデント初動マニュアル
（地方公共団体情報システム機構（J-LIS）
　・情報セキュリティインシデント対応ハンドブック
（（特定）個人情報保護委員会）
　・特定個人情報の適正な取扱いに関するガイドライン
3．情報セキュリティ関連事業
　・新たな自治体情報セキュリティ対策の抜本的強化

　日本年金機構における個人情報流出事案は、多くの住民情報を扱う地方自治体にとって重大な警鐘となりました。この事案を受けて、総務省においては、地方自治体の情報セキュリティに係る抜本的な対策を検討するため、「自治体情報セキュリティ対策検討チーム」（座長：佐々木東京電機大学教授）を設置したところであり、2015年11月24日に、
(1) マイナンバー利用事務系では、端末からの情報持ち出し不可設定等を図り、住民情報流出を徹底して防止すること
(2) マイナンバーによる情報連携に活用されるＬＧＷＡＮ環境のセキュリティ確保に資するため、LGWAN接続系とインターネット接続系を分割すること
(3) 都道府県と市区町村が協力して、自治体情報セキュリティクラウドを構築し、高度な情報セキュリティ対策を講じること
との、三層からなる対策を講じることにより、早急に各地方自治体の情報セキュリティ対策の抜本的強化を図ることが必要であるとの報告をいただいたところです。総務省としても、サイバー攻撃が急速に複雑・巧妙化している中、マイナンバー制度及び地方自治体の行政に重大な影響を与えるリスクも想定されることから、各地方自治体において、情報セキュリティ対策を抜本的に強化することが必要であると考えます。

・新たな自治体情報セキュリティ対策の抜本的強化の概要
1．各自治体におけるインシデント即応体制の強化（H27.8.21通知）
（1）最高情報セキュリティ責任者（CISO）の設置とインシデント対応チーム（CSIRT）の強化
（2）市町村に対する都道府県による初動対応の支援体制の強化
（3）NISCまでのインシデント連絡ルートの再構築（多重化）
（4）緊急時対応計画の見直し（インターネット遮断ルール等の追加）と準備の徹底
2．攻撃リスク等の低減のための抜本的強化対策
（1）既存の住基システム（マイナンバー付番システム）のインターネットからの分離(マイナンバー制度施行（H27.10.5）まで)
（2）「自治体情報システム強靭性向上モデル」を各自治体に示し、その取組を支援
（3）「自治体情報セキュリティクラウド」の導入
　　　(都道府県ごとにインターネット接続口を集約化し、監視機能を強化）
（4）業務システムの共同利用である自治体クラウドの導入加速
3．各自治体の情報セキュリティ確保体制の強化
（1）セキュリティ専門人材による支援体制の構築（自治体情報セキュリティ支援プラットフォーム(H27.9.30稼動開始）)
（2）NISC、NICT及び特定個人情報保護委員会等と連携してセキュリティ人材の育成促進
（3）人的セキュリティの強化と職員の訓練の徹底（H27.8.21通知）
（4）自治体クラウド等により節減した費用等を情報セキュリティ対策に振り向け

　今自治体に求められるのが下記2つの事項です。
　・自治体情報システム強靱性向上モデルの導入
　・自治体情報セキュリティクラウドの構築

○自治体情報システム強靱性向上モデル
（日経BP　15/12/16）
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/121400442/?ST=govtech&rt=nocnt

　自治体情報システム強靭性向上モデル（注1）への対応は、2段階で進める流れになる。まず、住基・団体内統合宛名・税・社会保障などのマイナンバーそのものを扱う「マイナンバー利用事務系」の通信を、ほかのシステムと完全に分離する。インターネットや他システムからのウイルスの侵入や不正アクセスを遮断するためである。加えて、2要素認証によるアクセス制御と、USBメモリーなどによるデータ持ち出しの不可設定を施し、建屋内への侵入者や内部犯行による情報の窃取、ルール外のデータ複製も抑え込む。 （注2）
　第２段階では、マイナンバーによる情報連携に用いられるデータを扱うシステム、または自治体間の専用ネットワークである「総合行政ネットワーク（LGWAN）」に接続されるシステムである財務会計・人事給与・庶務事務・文書管理などの「LGWAN接続系」の通信を、Webによる情報提供・収集やインターネットメールなどの「インターネット接続系」の通信と分離する。　・・・　無害化（注3）
LGWAN接続系には、マイナンバー利用事務系と同様に2要素認証によるアクセス制御も求める。

・自治体情報システム強靭性モデル
　1.情報提供ネットワークシステム等の集中監視
　2.マイナンバー関連システムについて、インターネットリスクからの分離
　　ＬＧＷＡＮ環境とインターネット環境の分割
　3.個人番号利用事務関連システムは、端末からデータの持出し不可設定や二要素認証の導入
　4.庁内ネットワークの再構成
　5.自治体情報セキュリティクラウドの導入

○自治体情報セキュリティクラウドの構築
　セキュリティクラウドは都道府県単位に設け、各市町村をIP-VPNで収容する形態になる。

・福岡県自治体情報セキュリティクラウド事例
・提供する機能
ファイアウォール、
IDS・IPS（不正侵入検知・防御システム）、
振る舞い検知によるマルウェア検出（Sandbox）、
URLフィルタリング、
メールスパム対策、メールリレー、メールフィルタリング、
プロキシ、DNS、NTP、
ウェブサーバーのハウジング・ホスティング、
ウェブアプリケーションファイアウォール、
各機器のログ収集・セキュリティ分析（SIEM）、
SOC（セキュリティオペレーションセンター）によるセキュリティ監視・運用・対策支援

・「福岡県自治体情報セキュリティ対策協議会」の設立
http://www.pref.fukuoka.lg.jp/press-release/security-kyogikai-setsuritsu.html

＜参照＞
（注1）（注2）（注3）

平成28年08月18日