情報セキュリティリスクを可視化し、次世代ネットワークの強靭化につなげる

取材日：2023年7月26日
※ご担当者様の所属・役職は、2023年9月1日時点のものです。
※当サイトは2024年7月1日にパーソルプロセス＆テクノロジー株式会社から移管されました。

三重県の県庁所在地であり、28万人の人口を抱える津市。その中で行政の情報通信システムを司る総務部 デジタル改革推進課では、今年5月に「RiskVz」のセキュリティ診断を行いました。今回は自治体ならではのサイバーセキュリティの特徴やRiskVzのセキュリティ診断が必要になった背景や診断結果から得られた効果、今後の展望などを、ご担当の田中玲様と奥山聡様に伺いました。

背景：自治体におけるサイバーセキュリティの重要性

まずは津市総務部 デジタル改革推進課様の業務について教えてください。

田中： 私たちデジタル改革推進課は、津市の情報化の企画と調整、さまざまな情報通信基盤の整備と管理に加え、自治体DXの推進にかかる全庁的な総合調整が主な業務です。2006年に行われた10市町村の合併によって現在の津市が誕生した際にシステム関連の業務が当課に集約され、ネットワークインフラの構築や出先機関との回線の接続など、そのあたりの基盤となる部分を一括して担当しています。

自治体でもサイバーセキュリティへの意識は高まっているのでしょうか？

田中：2015年に年金機構の情報漏洩が大きな問題になって以降、全国の自治体ではインターネット接続系のネットワークと個人情報や内部事務を扱うネットワークを分離する動きが起きました。当然、津市もインターネット接続系ネットワークとマイナンバー等を扱う個人情報のネットワーク、そして内部事務を行うネットワークを三層分離の形で分けています。そのため、個人情報や内部事務関連のネットワークは非常に強固に守られた状態で運用されています。

一方で、最近も公立の病院がランサムウェアの攻撃によって診療を長期間停止するという事故が大きく報道されたように、インターネット接続系のネットワークについてはサイバー攻撃によるホームページの改竄やメールアカウントの乗っ取りなどの脅威にさられており、どこの自治体でもセキュリティ対策の意識が高まっていると感じます。

課題：新たなセキュリティ脅威への対応

RiskVzをご依頼されたきっかけを教えてください。

田中：近年、クラウド系サービスの利用機会が増えている中で、インターネット環境におけるセキュリティ対策をやっていかなければならないだろうと考えていた時にRiskVzの診断を知りました。

実はちょうど令和５年度から市の基盤情報ネットワークシステムの更新に取りかかるタイミングであり、その中で「新たなセキュリティ脅威への対応」が課題のひとつになっていたところでした。それに対し、RiskVzの診断結果をうまく反映することによって、より強靭なネットワークが作れないかと考えたのです。

本音を言うと、インターネット環境のセキュリティリスクが可視化されることで庁内にどんな影響が起こるかわからないという一抹の不安はありました。しかし、外部の専門家に詳しくチェックしてもらうことで、次の世代に安全なネットワークを残せるのであれば、ぜひやるべきだと検討を進めました。また、当課以外の課が直接運用しているネットワークが少しだけありますので、そういうところへのアドバイスを受けるためにも良い機会だと思って診断をお願いしました。

導入の決め手：RiskVzに感じた魅力とパーソルクロステクノロジーへの期待

診断前、RiskVzのどんなところに魅力を感じましたか？

田中：現状限られた人数で幅広い業務をこなしているので、特別な準備の必要がなく、対象ドメインを伝えるだけでいろいろなリスクを調査もらえるという点が最も魅力的に映りました。とてもわかりやすい料金体型で、「IPアドレス」「メールアカウントの漏洩」「ドメイン」「WEBサイト」「ブロックリスト」「メール配送」という6項目に絞り込まれた診断項目も我々の求めるニーズに合致していました。

セキュリティ対策に優先順位を付けるというのは初めてだったので、パーソルクロステクノロジーのアナリストの方がどのように分析されるのか、そこは期待半分、楽しみ半分という心境でしたね。

取り組み内容と結果：診断結果の共有が庁内の意識改革に

診断後の感想を教えてください。

奥山：依頼してから2週間ほどで診断結果レポートをご報告いただき、6項目の中の対策優先順位や具体的な対策方法、推奨事項まで詳細に非常にわかりやすくご説明いただいたところが印象的でした。すべておまかせで、対象ドメインを伝えるだけだったのにもかかわらず、よくここまでわかるものだと感心しました。

特に発見があったのは「メールアカウントの漏洩」のレポートです。自分たちが認識していたものより多くのリスクがあることを知って驚きましたね。（注：情報漏洩ではなく間接的なリスクの発見。現在は予防対応済み。）リストに上がったアカウントの使用者には、診断結果でもらった対処方法を添えて改善をお願いしました。また、ホームページの中に脆弱性のある箇所が発覚し、管理をしている部署に状況を共有しました。

必要以上に不安を煽ることを避けるため、診断結果を全庁的に公表するということはしていませんが、リスクが発覚したところに結果を共有することで、少しずつ庁内の意識改革に繋がっていると思います。さらに今回の診断で得た知見を新しい基盤情報ネットワークシステムのセキュリティポリシーに反映し、自然な流れで全部署に周知できるような形を作っていきたいです。

今後の展望：継続的な活用を検討、セキュリティ強靭化の礎に

今後、パーソルクロステクノロジーにどんなことを期待されますか？

田中：今回の診断では、我々の手だけでは調べることができない部分の調査をパーソルクロステクノロジーのRiskVzに担ってもらいました。自治体の情報管理部門も組織の大きさはさまざまだと思いますが、人手が足りなかったり、省力化を求められていたりするチームほど試してみる価値があるサービスだと思います。これだけ簡単に診断してもらえるなら、セキュリティ強靭化のために継続的な活用を検討していきたいです。

今後さらに行政の手続きのオンライン化が進んでいくと、私たちと市民の方々がインターネットで繋がる機会が増え、市民の方々からいただいたさまざまな情報を守る我々の責任が重くなります。それを見越すと、庁内の各部署でネットワークのセキュリティに対する意識の向上を図っていく必要があり、そうしたところでもパーソルクロステクノロジーに協力してもらいたいです。