自治体情報システム強靭性向上モデルとは

2023年11月28日 www.soliton.co.jp より移設

マイナンバーをはじめとする個人情報の漏えいを防ぐには、内部からの情報持ち出しを厳しく制限することに加え、インターネット経由の脅威を前提にしたネットワーク設計が欠かせません。総務省は、自治体の情報セキュリティを底上げする考え方として「自治体情報システム強靭性向上モデル（いわゆる三層分離／三層の対策）」を示し、自治体の実情に応じた運用・改善を促しています。

ここでは、自治体情報システム強靭性向上モデルの概要（基本の三層の考え方）と、近年のクラウド活用を見据えた留意点を、実務で迷いやすいポイントに寄せて整理します。

自治体情報システム強靭性向上モデルとは

自治体情報システム強靭性向上モデルは、自治体が扱う重要情報（個人情報・行政情報）を守るために、ネットワークを性質の異なる領域に分け、情報の出入りを制御する考え方です。ポイントは「一度侵入されること」を前提に、侵害範囲を限定し、被害を最小化することにあります。

基本となる「三層」の考え方

一般に、自治体ネットワークは次の3領域（系）を中心に整理されます。

• マイナンバー利用事務系（個人番号利用事務系）：個人情報の中でも特に機微性が高い領域
• LGWAN接続系：自治体の基幹業務や行政ネットワークに接続する領域
• インターネット接続系：Web閲覧、外部メール、SaaS等の利用が主となる領域

この3領域を「用途」と「機微性」に応じて分離し、通信経路やデータの受け渡しにルールを設けることで、標的型攻撃やマルウェア感染時の拡散を抑えます。

なぜ強靭性向上モデルが重要になったのか

自治体は、住民の個人情報や行政の重要情報を大量に取り扱います。ひとたび漏えいが起きれば、住民への影響だけでなく、行政サービスの停止や信頼失墜にも直結します。さらに、攻撃者は「最も守りが弱い部分」から侵入する傾向があり、委託先・関連団体・端末持ち出しなど、入口は多様化しています。

こうした背景から、ネットワークを分けて守りの前提をつくり、運用で継続的に強化していくことが、自治体にとって現実的な対策として重視されてきました。

モデルのポイント

1) ネットワーク分離（役割に応じて領域を分ける）

インターネットに直接つながる環境は、Web閲覧やメール添付などを起点に侵害されやすい領域です。そこで、個人情報を扱う領域や基幹領域を、インターネットから論理的・物理的に距離を置く設計が基本になります。

重要なのは「分けること」そのものではなく、“どこからどこへ、何が、どの経路で移動できるか”を管理できる状態にすることです。

2) 無害化（領域間の受け渡しを“安全側”に寄せる）

インターネット接続系で受け取ったメールやファイルを、LGWAN接続系等へ取り込む場面では、マルウェア持ち込みを防ぐ仕組みが必要です。代表例としては、次のような考え方があります（実装方式は組織により異なります）。

• メール無害化：HTMLメールのテキスト化、危険な添付の遮断・隔離など
• ファイル無害化：マクロ・スクリプト除去、閲覧用形式への変換、危険要素の検査・隔離など

「取り込む前に安全側に倒す」ことが目的です。利便性だけで例外を増やすと、境界が形骸化しやすいため、運用ルール（例：どの情報をどの系に取り込むか）もセットで定義します。

3) 二要素認証（不正利用の前提に立つ）

ID・パスワードだけの認証は、漏えい・使い回し・フィッシングなどで突破される可能性があります。そこで、重要領域の端末ログインやリモートアクセス、管理者権限の利用などは、二要素認証（多要素認証）を基本に考えます。

二要素認証は「強くすればよい」だけではなく、適用範囲（誰が・何に・どの条件で）を決めることが実務上の要点です。特に、管理者操作・特権ID・外部接続は優先度が高くなります。

4) 情報持ち出し制限（“できてしまう”状態を減らす）

マイナンバー等の重要情報を扱う端末では、USBメモリ利用の制限、印刷や外部送信の制御、権限に応じたアクセス制御など、持ち出し操作を前提にした対策が必要です。

ポイントは「禁止の宣言」ではなく、技術的に“できない／やりにくい”状態をつくることです。ルールと仕組みが一致していないと、現場の迂回が起きやすくなります。

近年のクラウド活用と「三層」運用の見直し

DX推進により、SaaS（クラウドサービス）利用は自治体でも当たり前になってきました。一方で、従来の運用では「LGWAN接続系から、画面転送でインターネット接続系のブラウザを使う」といった方式が増え、遅延や操作性の課題が出やすくなります。

このため、近年はクラウド利用を見据えた発展形（例：α’モデル等）の考え方も提示されており、クラウド接続の条件整理（接続先制限、テナント制御、追加のセキュリティ対策など）を前提に、利便性と安全性の両立を検討する流れが強まっています。

導入・運用で押さえるべき実務ポイント

• 対象情報の棚卸し：個人情報・機微情報・公開情報を分類し、置き場所（どの系で扱うか）を決める
• 例外の最小化：例外運用は“増えるほど事故の入口”になりやすい。例外は期限・条件付きで管理する
• ログと監査：領域間の受け渡し、特権操作、外部接続を中心にログを残し、定期点検できる状態にする
• インシデント対応：感染疑い時の遮断手順、連絡体制、復旧優先順位を平時に決めておく
• 教育・訓練：標的型メール訓練、持ち出しルール、緊急時対応などを“毎年必ず回す”

強靭性向上モデルは、単発の導入で終わるものではありません。クラウド活用や業務の変化に合わせ、分離・受け渡し・認証・監視の設計を継続的に見直すことが、結果として「事故が起きにくい自治体運用」につながります。

よくある質問（FAQ）

Q. 自治体情報システム強靭性向上モデルとは何ですか？

A. 自治体が扱う個人情報や行政情報を守るために、ネットワークを用途・機微性に応じて分離し、通信やデータの受け渡しを制御する考え方（設計指針）です。侵入を前提に被害範囲を限定し、拡散を抑えることを目的とします。

Q. 「三層」とは具体的にどの領域を指しますか？

A. 一般に「マイナンバー利用事務系（個人番号利用事務系）」「LGWAN接続系」「インターネット接続系」の3領域を指します。各領域で扱う情報の性質が異なるため、境界と受け渡しルールを設けます。

Q. ネットワーク分離（インターネット分離）の狙いは何ですか？

A. インターネット経由の攻撃やマルウェア感染が起きても、個人情報・基幹業務へ横展開しないようにすることです。「どこからどこへ何が移動できるか」を管理できる状態にするのが要点です。

Q. 無害化とは何をすることですか？

A. インターネット接続系で受け取ったメールやファイルを、LGWAN接続系等へ取り込む前に、危険要素（マクロ、スクリプト等）を除去・隔離し、安全側に倒す処理を行うことです。実装方式は自治体の運用方針により異なります。

Q. 二要素認証（多要素認証）はどこに適用すべきですか？

A. 優先度が高いのは、重要領域へのログイン、外部からのリモートアクセス、管理者権限（特権ID）の利用です。「誰が・何に・どの条件で」強化するかを決め、例外を増やしすぎないことが重要です。

Q. 情報持ち出し不可設定は、何を制限する考え方ですか？

A. USBメモリ利用、外部送信、印刷、ローカル保存など、重要情報が外へ出る操作を技術的に抑止する考え方です。「禁止の宣言」ではなく、実際に“できない／やりにくい”状態をつくることがポイントです。

Q. LGWANとは何ですか？

A. LGWAN（総合行政ネットワーク）は、地方公共団体を相互接続する行政専用の閉域ネットワークです。インターネットから切り離された前提で運用され、行政業務の通信基盤として使われます。

Q. 自治体情報セキュリティクラウドとは何ですか？

A. インターネット接続を集約し、監視・防御を共同化／高度化するための仕組み（または運用）を指します。自治体ごとに分散して対策するのではなく、入口対策の品質を安定させる狙いがあります。

Q. クラウド（SaaS）利用が増えると、三層分離は時代遅れになりますか？

A. 「分離そのもの」が不要になるというより、クラウド利用を前提に“安全な接続条件”を整理し、運用を見直す必要が高まっています。利便性と安全性の両立には、接続先制限や追加対策、責任分界の確認などが欠かせません。

Q. 取り組みを始めるときの現実的な進め方は？

A. まずは情報資産の棚卸し（分類）と、各系で何を扱うかの整理から始めます。次に、領域間の受け渡しルール（無害化・持ち出し制限）と、特権・外部接続の認証強化を優先し、ログ・訓練・対応手順を“回る運用”として定着させます。