自治体情報セキュリティ対策ソリューション

自治体情報システム強靭性向上モデルのポイントの一つにマイナンバー関連システムをインターネット接続系のシステムからリスク分断することがあります。つまり、LGWAN環境とインターネット環境を分割する必要があるということです。マイナンバー関連システムを、インターネットからの情報漏洩リスクから完全に回避するために、個人番号利用事務をLGWAN接続系システムからも分離し、徹底的にリスク分断を図ります。

自治体情報システム強靭性向上モデルのポイント

マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するため、財務会計などLGWANを活用する業務用システムと、Web閲覧やインターネットメールなどのシステムとの通信経路を分割すること。なお、両システム間で通信する場合には、ウイルスの感染のない無害化通信を図ること
(LGWAN接続系とインターネット接続系の分割・・・「自治体情報セキュリティ対策検討チーム報告」)。

自治体システム強靭化モデル

  • 情報提供ネットワークシステム等の集中監視
  • マイナンバー関連システムについて、インターネットリスクからの分離(LGWAN環境とインターネット環境の分割)
  • 個人番号利用事務関連システムについて、端末からデータの持ち出し不可
  • 設定や二要素認証の導入により、住民情報の流出を徹底して防ぐ
  • 全自治体で庁内ネットワークの再構成
  • インターネットとの接続口を都道府県ごとに集約化して、集中して高度な監視を行う(自治体情報セキュリティクラウドの導入)

上記のうち、各自治体が独自々で実施する必要があるセキュリティのポイントは以下の通りです。

① インターネットリスクからの分離

LGWAN接続系とインターネット接続系環境はL3スイッチ等により分離することが望まれます。ただし、事務所内レイアウトや業務効率などの理由により、インターネット環境から、LGWAN環境やマイナンバー関連システムを別々の端末で物理的に分離できない場合、業務端末より仮想ブラウザでインターネットを閲覧できる仕組みをとります。

② 分離したセグメント間のリスク分断

分離されたインターネット接続系環境から、LGWAN接続系環境へファイルを受け渡すためには、外部からのファイルを無害化処理されなければなりません。ファイル無害化の方法としては以下のようなものが挙げられます。

  1. セキュアにファイル共有できる環境において、ファイル無害化(サニタイズ)ソフトを導入する
  2. メールはテキスト化して受信、あるいはWebメールであれば仮想ブラウザにより受信し、添付ファイルはファイル無害化ソフトによって無害化する
  3. 各種申請や取引業者から授受するファイル(メール、記憶媒体等で入手)はふるまい検知等でセキュリティ強化した端末で、ファイル無害化ソフトで無害化した後使用する

③ 二要素認証

二要素認証とは「ユーザだけが知っている何か」、「ユーザだけが持っている何か」、「ユーザの特性」等の要素のうち、2つを組み合わせてセキュリティレベルを上げた認証方式です。認証ツール導入の際は、業務による機密度合や職員の外出度合のみならず、身障者対策等、ひとつのシステムでも柔軟に複数の要素を使用することができるものを選択することが望まれます。

④ データの持ち出し不可

情報の流出経路となる外部デバイス(CD/DVD、USB等)のみならず、ネットワーク上の共有フォルダ、プリンタ出力の制御もできるソフトウェアを導入します。その際スマートフォンやデジカメ、音楽プレーヤー等の新たなデバイスに対応しているソフトウェアを選択します。
また、ICカード認証を利用して印刷制御するシステムにより、重要データについて印刷物からの情報漏洩を防ぐことができます。

⑤ 外部からの攻撃対策の徹底

各環境には、既存のウィルス対策ソフトに加えて、未知の脅威に対してふるまい検知でのマルウェア制御もできるソフトウェアを導入することが望まれます。

⑥ 不適切なアクセスの徹底監視

内部犯行防止策として、端末に操作ログ(キーログ、カーソル遷移、表示URL等)取得ツールを導入することが望まれます。また、情報提供ネットワークシステム等の集中監視を実施するために様々なログを統合管理するシステムも必要です。

要件に対応するセキュリティの導入

① インターネットリスクからの分離

インターネット環境の分離

② 分離したセグメント間のリスク分断

ファイル無害化

③ 強力なアクセス制御

二要素認証

④ 端末からの情報持出し不可

データ持ち出し制御

⑤ 外部からの攻撃対策の徹底

標的型攻撃ふるまい検知

⑥ 不適切なアクセスの徹底監視

ログによる監視・分析

対応製品

① インターネット環境の分離

クライアント仮想化

インターネット接続環境を仮想化技術によって分離するダブルブラウザ・ソリューションの基盤ソフトウェアで、簡単、低コストで導入できるクライアント仮想化ソリューションです。

② ファイル無害化

ファイル無害化

ファイルがマルウェアを含んでいる「可能性」を重視し、組織外から入ってくるファイルをサニタイズ(無害化)するアンチマルウェアソリューションです。

③ 二要素認証

二要素認証

PCに既に社員証などで利用されている改ざんや複製ができないICカードを利用して、ログオン時に二要素認証を行います。

④ データ持ち出し制御

デバイス制御

業務上の役割に応じたアクセス権限を、必要最低限の設定で実現することにより、堅牢なアクセスコントロール基盤を実現します。

印刷制御システム

ICカード認証を利用して印刷制御をかけることで、印刷物からの情報漏洩を防ぎます。認証印刷により無駄紙印刷も防止できるため、大幅なコスト削減が実現可能です。

⑤ 標的型攻撃ふるまい検知

標的型攻撃対策

標的型攻撃で利用される未知の脆弱性やマルウェアの検知・防御に特化した次世代のエンドポイントセキュリティです。

⑥ ログによる監視・分析

統合ログ管理システム

サーバ、ネットワーク機器などが出力するログを、機器の種類、アプリケーション、フォーマットを問わずに統合的な一元管理を実現します。

Windows操作ログ取得システム

Windows OSの操作ログを生成・取得するシステムです。Citrix、VMware、Hyper-Vなどのシンクライアント環境にも対応し、PCへ負荷をかけずにユーザの操作内容を詳細に記録可能です。操作画像記録も可能です。

デスクトップ操作画面記録監視システム

PC操作をデスクトップ画面記録、キー操作ログ、Webアクセスログで完璧にモニタリングします。内部犯行による特定個人情報や機密情報の不正操作防止を実現します。


VOTIRO SDS ファイル無害化【音声付】


お問合せ