セキュリティ特集

地方公共団体における情報セキュリティポリシーに関するガイドライン
2025年3月改定のポイント

2025年5月20日、自治体で情報システムや情報政策に携わる担当者を対象としたセミナー「自治体DXのためのセキュリティ最前線~事例とディスカッションから学ぶ~」が大阪で開催されました。セミナーでは、自治体に求められるセキュリティのあり方について、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」の構成員としてガイドライン策定に携わる合同会社KUコンサルティング・代表の髙橋 邦夫 氏による解説や、先進的な自治体の取り組み事例、そして課題解決に貢献するソリューションの紹介などを通じて、最新のセキュリティ対策に関する動向が紹介されました。当日は、近畿圏の自治体担当者に参加いただき、ディスカッションを通して、個々の自治体が抱える課題に即した対策を共に考える貴重な機会となりました。

自治体セキュリティ対策の将来像とは?

基調講演では、総務省「地方自治体情報セキュリティポリシーガイドライン改定検討会」委員、および文部科学省「教育情報セキュリティポリシーガイドライン改定検討会」座長を務める髙橋 邦夫 氏が登壇。デジタル庁における自治体ネットワークの将来像に向けた検討状況や、2025年3月に改定された総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン(以下、ガイドライン)」の主要なポイントや改定の背景などが明らかになりました。

合同会社KUコンサルティング 代表社員 髙橋 邦夫 氏

このガイドラインは、自治体が保有する膨大な情報を適切に管理し、情報漏えいやサイバー攻撃から守るための指針として策定され、社会や技術の進展に応じて見直しが重ねられてきました。自治体のネットワークは現在、「三層分離」を基本としています。しかし、現場の自治体職員からは、端末を使い分ける必要があることからデータのやりとりがしにくい点などが指摘されています。髙橋氏は講演の冒頭で、2024年5月にデジタル庁の検討会が「三層分離を見直す」という報告書をまとめたにもかかわらず、当時のデジタル大臣が「三層分離をやめるのは当然」という趣旨の発言を記者会見で行ったエピソードを紹介しました。これには、デジタル大臣が三層分離からの脱却に舵を切りたい意向があったものと髙橋氏は述べました。

基調講演では、「国・地方ネットワークの将来像及び実現シナリオに関する検討会」によって公開された報告書について触れています。

髙橋氏は「目指すべき将来像は、国と地方のネットワークを共通基盤でつなぐことです。国がガバメントクラウドを構築し、信頼性の高い認証方式を導入したうえで、自治体職員が一定の権限でアクセスできることを目指しています。これを実現すれば、データを活用したサービスの共同利用などが可能になります。」と期待を語ります。

全体最適の観点に基づく望ましいネットワークの将来像への取り組みは、段階的に2030年の実現を目指しており、次期LGWANの見直し時期にあたるおよそ5年後をターゲットに設定されています。そのなかでは、国と地方のネットワーク基盤の共用化をはじめ、ゼロトラストアーキテクチャの考え方を導入したセキュリティ対策の実施、運用体制の構築に向けた人材育成などが掲げられています。ゼロトラストセキュリティは、すべての通信を信頼しないことを前提とし、多層的な対策を講じる考え方であり、従来の境界型セキュリティとは一線を画すものです。

これについて髙橋氏は、「既存の多要素認証や暗号化通信、アンチウイルスといった技術は引き続き活用していきます。自治体DXへの取り組みがさらに進み、新たな技術が導入されることにより、専用線やVPNの削減、ネットワーク分離が不要になるほか、データセンター維持費・更新費用の削減など、システム構成がよりシンプルになり、コスト効率も進むことが期待されています」と言及します。

 

最新のガイドラインではマイナンバー利用事務系での「画面転送」と「無線LAN」利用が可能に

次に髙橋氏は、2025年3月に総務省から公表されたガイドラインの改定について、ポイントを詳しく解説しています。

「今回の改定で、地方自治体の情報システムや情報政策に携わる担当者が注目すべきポイントは、『マイナンバー利用事務系での画面転送方式の容認』と、『無線LANの利用許可』です」と髙橋氏は話します。

物理的な分離が推奨されてきたマイナンバー利用事務系の端末について、画面転送方式や無線LANの利用が認められ、ネットワークの完全分離という考え方が緩和されました。無線LANの利用許可は、これまで自治体からの強い要望が背景にありました。また、画面転送方式はデジタル庁の『一人一台端末』という考え方を実現する第一歩と位置づけられており、今回の改定では画面転送方式と無線LANの利用の2つが改定に取り上げられています。

しかし、画面転送方式について、総務省が慎重な姿勢を示している点を髙橋氏は指摘します。

「『どのような対策を行っても100%リスク回避はできない』『利便性やコスト、リスク、セキュリティを総合的に勘案して判断すること』といった留意事項が別紙で示されています。特に、マイナンバー利用事務系に関する情報を取り扱う場所の管理や、ハードコピーの禁止といった物理的および組織的な対策の重要性が強調されています」(髙橋氏)

 

セキュリティの実効性が求められる地方自治法の改正

また、2024年に施行された地方自治法の改正により、自治体のセキュリティ対策の実効性をより確保することが求められます。自治体の情報システムにおける有効活用を推進するとともに、地方自治法では適正な利用を図るために必要な措置を講じることが規定されています。

そして注目すべきは、総務大臣がセキュリティの確保を目的として、参考となる指針を示すことになった点です。自治体は、この方針に基づいて、策定・実施することが義務付けられることになります。

「これまでは技術的な助言にとどまっていた事項が、方針の策定・実施に関しては法的義務となり、自治体はこれに基づいてセキュリティ対策を進めることになります」(髙橋氏)

 

セキュリティの担保に向けた「CSIRT」の整備が必要

今回行われた改定を踏まえて、セキュリティ対策に向けてシステムに対する認証の役割は大きくなります。そのうえで、今後求められるのは完璧なセキュリティ対策ではなく、時代の変化に合わせたセキュリティ技術を採用し、定期的な見直しを実施していくことが重要です。

「セキュリティ対策における定期的な見直しに『ISMS』の考え方が重要です。自らのリスクアセスメントにより、自治体はセキュリティレベルを決めてプランを策定し、リソースを割り当てるといった、セキュリティマネジメントシステムを構築・運用していく必要があります。また、インシデントが発生してから体制を整備するのではなく、平時からセキュリティインシデントに関する情報を一元管理し、迅速に対応できる体制としてCSIRT(Computer Security Incident Response Team)を構築・運用することが極めて大切になります」(髙橋氏)

自治体のセキュリティ対策を強化していくうえで、最後に髙橋氏は、「情報セキュリティは自治体DX推進とセットであり、セキュリティ強化は変革を妨げるものではなく、むしろ利用者の安心を確保し、セキュリティインシデントを未然に防ぐことで、DXという変革は着実に前進します」と述べ、講演を締めくくりました。

顔認証とワンタイムパスワード認証を使い分けた多要素認証の事例

次に、大阪府吹田市行政経営部デジタル政策室 室長の濱田 周一 氏が、LGWAN接続系への多要素認証について、実際に庁内においてどのように活用されているのか、詳細を語りました。

吹田市 行政経営部 デジタル政策室 室長 濱田 周一 氏

吹田市は、「人とつながる、すべての人にやさしいデジタルシティ」というスローガンを掲げ、行政サービスのデジタル化に先駆的に取り組んでいます。また、職員の柔軟な働き方を推進するため、テレワークや時差勤務を積極的に導入しています。

吹田市が取り組むDXや柔軟な働き方の推進は、効率的な行政サービス提供の実現を目指す一方で、機密情報のセキュリティ確保も不可欠となります。安全なデジタル環境を維持し、市民や職員のプライバシーや情報保護を確保するため、認証基盤の強化が、増々重要となってきました。また他方、DX推進の取組の一環として、オンプレミスで管理していたLGWAN系のサーバー資産を、クラウドに移行することで費用や管理コストの削減を図っていく取組も進めていました。そうした中、クラウドサービス×認証基盤という吹田市のニーズにマッチするものとして、LGWAN-ASPである「ARCACLAVIS NEXT」という多要素認証ソリューションを導入することになりました。

導入にあたっては、2つの課題がありました。1つ目は、導入時のデジタル政策室の負担軽減、2つ目が、テレワーク時等、カメラが使えない場合の認証方法の確立でした。

1つ目の課題については、ARCACLAVIS NEXTが、各現場の職員が簡単に顔認証の初期設定を行うことができる仕組みを採用していることにより、デジタル政策室の導入時の負担が大幅に軽減される見込みがたち、課題解決に至りました。2つ目の課題については、ARCACLAVIS NEXTが、顔認証の他に、スマートフォンを使ったワンタイムパスワード認証も選択できるよう改善されたことで、課題解決に至りました。濱田氏は、「当初は自席の端末のカメラでしか行えなかった顔認証を、今年、テレワークの職員向けにスマートフォンによるワンタイムパスワード認証も選択できるようになりました。職員は顔認証とワンタイムパスワード認証という2つの選択肢を持つことができるため、カメラが使えない場所や光の加減等で顔認証が難しい場合などでも、ワンタイムパスワードが代替認証手段として有効に機能するので、利便性が大幅に向上しました」と語ります。

吹田市は、今後も安全なデジタル環境の維持を続けることで、安全かつ柔軟な働き方を実現し、行政サービスの利便性向上を目指していきます。ARCACLAVIS NEXTは、こうした吹田市のDX推進の一翼を担っています。
 

DX推進の礎となるセキュリティソリューション「ARCACLAVIS NEXT」

吹田市の講演に続き、両備システムズの小山 和也が「ARCACLAVIS NEXT」の特徴や具体的な機能について、詳しく紹介しました。

株式会社両備システムズ 営業本部 クロスインダストリー営業統括部 ソリューションビジネス営業部 小山 和也

ARCACLAVIS NEXTは、多要素認証ソリューションとして「知識(パスワードなど)」に加え、「所持(スマートフォンによるワンタイムパスワード、ICカード認証など)」や「存在・特徴(顔認証など)」といった複数の認証要素を組み合わせることで、高いセキュリティを確保します。特に、スマートフォンを使ったワンタイムパスワード認証は、ICカード忘れやPCに内蔵されたカメラが使えない環境でも、認証を実現する代替手段としても有効なものです。

「緊急時も利用者自身で認証の切り替えを行うことができます。ワンタイムパスワード認証は、緊急パスワードを発行するよりも認証を確実に行えるとともに、セキュアで管理者にとって運用の負担を軽減できます。ARCACLAVIS NEXTでは、この機能を追加費用なしでご利用いただけます」(小山氏)

また今後、β’モデルへの移行を行った場合、3年に1回監査を行う必要がありますが、ARCACLAVIS NEXTは、これらの監査において重要となる操作ログなどの証跡管理機能にも対応しています。

両備システムズは、多要素認証ソリューション「ARCACLAVIS NEXT」をはじめとするセキュリティ製品の提供のほか、情報セキュリティ外部監査の実施、CSIRT構築支援、SOCサービスなどのコンサルティング体制を有するなど、お客様のセキュリティ対策への悩みに包括的なご支援を提供しています。

ディスカッションでは自治体DXのリアルな課題が浮き彫りに

セミナーの後半では、髙橋氏をモデレーターとしたディスカッションが行われました。リラックスした雰囲気で話し合えるよう、参加者全員がテーブルを囲む対面式で実施しました。

大阪で開催された今回のセミナーには、近隣の府県から情報政策担当やIT担当の方に足を運んでいただきました。大阪府庁での勤務経験やデジタル庁での経験など、多様なバックグラウンドを持つ方も参加され、非常に活気のある意見交換の場となりました。

活発な意見が交わされたディスカッションの様子

ディスカッションでは、日々の業務における疑問や、身近でリアルな課題が共有されました。「kintoneのようなクラウドサービスをLGWAN環境で利用するにはどうすればよいか」といった具体的な質問や、多要素認証を導入した吹田市に対しては「職員の個人用スマートフォンを業務利用することへのハレーションはなかったか」、「業務用端末の持ち運びは、どの範囲まで許容されているのか」といった実践的な質問も多く寄せられました。

さらに、ISMSの実践的な活用や、PDCAサイクルを効果的に回していくための手法、また、マイナンバー利用事務系における画面転送方式の運用における留意点、CSIRTの整備状況や、情報セキュリティ監査に関する現在の活動などについても、幅広く活発な意見が交わされました。

このディスカッションを通じて、参加者は他の自治体の取り組み事例から、自身の業務における課題解決のヒントや、最新技術に関する有益な情報を得ることができ、今後の対策を検討するうえで、大いに参考になったという声も上がっています。所属する自治体は異なっても、同じく情報セキュリティ対策を担う使命を持つ参加者同士が、立場を超えて忌憚のない意見を交換できたことは、参加者にとって多くの貴重な気付きを得る機会となったことでしょう。

ディスカッションの最後には、「今回の事例を聞いて顔認証システムの利便性や有効性を理解できたので、自庁でも検討していきたい」といった具体的な感想も多く寄せられています。

 

自治体DXを加速させるセキュリティ対策のポイント

セミナーを通じて、情報セキュリティと自治体DXはまさに両輪であり、一体として推進していくことの重要性が改めて浮き彫りになりました。絶えず変化するセキュリティ情勢に対応するためには、最新かつ適切な技術の導入が必要であるとともに、PDCAサイクルに基づいて組織内に定着させることも重要です。

本セミナーで共有された情報や議論は、自治体における今後の行政サービスのあり方を見直し、市民サービスの質を一層向上させるための情報セキュリティ対策に生かされていくでしょう。今回のような対面でのセミナー開催は、参加者同士の率直な意見交換や活発な交流を促し、オンラインでは得難い貴重な交流の機会を生み出しました。

両備システムズでは、今後も自治体の皆様のDX推進とセキュリティ対策に貢献するセミナーを継続的に開催してまいります。全国の自治体職員の皆様のご参加を心よりお待ちしております。

関連情報

多要素認証ソリューション