本記事は、市町村の情シス職員として8年間務めた経験のある私が、現役の市町村職員に向けた「情報セキュリティ」の基礎や押さえておきたいポイントについてお話しする記事です。
本記事を読めば「情報セキュリティ」のリテラシーが向上し、絶対に当事者になりたくない「情報漏洩」を避けることができますので、是非ご一読ください!
情報セキュリティとは?
「情報セキュリティ」と聞くとなんだか難しく感じ、苦手意識を持ってしまいがちな方も多いのではないでしょうか。
しかし、「情報セキュリティ」は地域住民の生活や職場を守ること、何より職場で働くあなた自身を守るために重要なことなので、この虎の巻を読んで基礎知識を身につけるようにしましょう。
多くの市町村は情報セキュリティ対策の一環として、職員が遵守すべき情報セキュリティ対策の基本的事項や対策、考え方について整理した「情報セキュリティポリシー」を定めています。
そして「情報セキュリティ」は、広義には情報の「機密性」「完全性」「可用性」の三つを確保することと定義されています。
それではこの三つの要素の意味合いについて解説していきます。
(1)機密性とは?
機密性(Confidentiality)の確保とは、許可された者だけが必要な情報にアクセスできる状態を保つことです。
機密性を保つために、下記のような対策を行います。(あくまで一例です)
- PCのログインIDとパスワードを設定し、無関係な人間が情報にアクセスできないようにする
- 業務システムや共有フォルダにアクセスする権限を部署ごとに設定し、他部署の情報を閲覧できないようにする
- 物理的対策(外部の人間が執務室に入室できないよう制限する等)
(2)完全性とは?
完全性(Integrity)の確保とは、保有する情報が正確であり、完全である状態を保つことです。
完全性を保つために、下記のような対策を行います。
- ログ管理を適切に行う(アクセス履歴・システム利用履歴などの情報)
- データのバックアップを定期的に取得する
- 改ざん防止のため、変更履歴を管理する
(3)可用性とは?
可用性(availability)の確保とは、情報を使いたいときに使える状態にしておくことです。(ファイルへのアクセス、システムやネットワークを常に利用可能な状態とするなどの対策が求められます。)
可用性を保つために、下記のような対策を行います。
- UPS(無停電電源装置)を設置し、停電時でも一定時間稼働できるようにする
- システムのクラウド化(災害時に強い)
- BCP(事業継続対策)の策定(BCPとは、災害時等にできるだけ平常時と同じ業務ができるようにするための行動を定めたものです。)
情報資産の分類
業務で取り扱う情報資産は、先ほどご説明した「機密性」「完全性」「可用性」の高低によって分類されます。
重要または秘匿性の高い情報は、特に慎重に取扱いを行う必要があります。(分類や取扱制限の詳細については、各市町村が策定している「情報セキュリティポリシー」に規定されておりますので、お時間のある時に確認してみてください!)
この次は、業務で扱う頻度の高い情報である「個人情報」と「特定個人情報」(マイナンバー)について解説します。
個人情報ってなに?
「個人情報」とは、生存する個人に関する情報で、その情報により特定の個人を識別することができるものです。
一例ですが、下記の情報などが個人情報に当てはまります。(個人情報の保護に関する法律で定義されています)
- 氏名
- 生年月日
- 住所
- 電話番号
- メールアドレス
- 会社での役職
- 防犯カメラの映像(本人が特定できるものに限る)
特定個人情報とは?
「特定個人情報」とは、番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律)で定義されている「個人番号」(マイナンバー)をその内容に含む個人情報です。
一例としてですが、下記のものが当てはまります。
- 情報提供ネットワーク(マイナンバーを利用し、行政機関同士の間で特定個人情報の提供を行うことができるもの)で他市町村等に情報照会を行い取得したもの(所得情報等)
- 個人番号が記載された申請書
- 雇用保険被保険者資格取得届
- 雇用主に提出する個人番号が記載された書類
そして上記は、書類だけでなくデータ化したファイルも対象です!
よって、「個人情報」と「特定個人情報」の見分け方は、その情報に「個人番号」が含まれているかどうか、ということになります。
情報漏洩はどんなときに起きるのか?
絶対に当事者になりたくない情報漏洩について、よくあるパターンを解説します。
情報漏洩が起きると事後の対応に追われ、組織への信頼は失われ、当事者は処分(減給・停職など)の対象になり影響を受けた人への謝罪、場合によっては多額の賠償金を支払うことになります。
このようにとても恐ろしい情報漏洩ですが、大半の要因である人為的ミスについては一人一人が意識すれば必ず防げることですので、注意すべきポイントを押さえて職務にあたるようにしましょう!
(1)うっかり物を置き忘れる(人為的ミス)
- 仕事で使っているPCを訪問先・電車などに置き忘れる
- 駐車中の車に置いたままで盗難にあう
- 生徒の成績情報が入ったUSBメモリを紛失する(教師がよくやりがち)
- 個人情報の入った書類を鞄ごと紛失する
(2)ID・パスワードが流出する(人為的ミス)
- ID・パスワードを書いた紙を紛失または盗まれる
- サイバー攻撃者の巧妙な手口により情報を盗まれる
(3)注意不足により、他人に情報を見られる(人為的ミス)
- 画面に個人情報を表示させたまま離席する
- 机の上に個人情報を置いたまま帰宅する
(4)メールの誤送信(人為的ミス)
(5)マルウェア(悪意のある不正なプログラム)に感染する
サイバー攻撃者の手によって知らず知らずのうちにマルウェアに感染し、機密性の高い電子データが攻撃者に窃取される
サイバー攻撃者の手口とは?
年々巧妙になっているサイバー攻撃者は、一例ですが下記のような手法を利用し、情報資産の窃取や金銭を要求するなどの犯罪行為を行ってきます。
それではサイバー攻撃者の各種攻撃手法について解説していきます。
マルウェア
マルウェアには様々なタイプがあります。
(1)ウイルス
最も一般的なタイプ。
特定のファイル形式(.exeなど)に潜んでいることが多く、人間がウイルスと気づかずに実行することが発動の条件です。
ファイルを破壊したり、システムを停止させたり、機密情報を窃取するなどの動作を行
います。
そして、知らぬ間にネットワーク内にある他のPCにも入り込み、自己増殖して被害が拡大します。
(2)ランサムウェア
かなり凶悪なタイプ。
感染するとファイルやWebサイトなどを暗号化し、PCやシステムが利用不能な状態になります。
そして、「回復させたければ、身代金を払え」と要求してくるのが特徴です。
これは実際にあった事件ですが、2022年10月に、「大阪急性期・総合医療センター」がランサムウェアの被害にあい、外来患者の診療や入院患者の制限を余儀なくされ、完全復旧まで2か月を要するということがありました。
(3)ワーム
これもかなり嫌なタイプ。
自己増殖し、拡散能力が非常に高いのが特徴です。
ウイルスと違うところは、人間が操作しなくても活動可能な点です。
すごい勢いで自己増殖してネットワーク内のPC等を感染させ、情報を窃取したり、さらに危険なマルウェア(ランサムウェア等)をインストールされるなど、甚大な被害をもたらします。
(4)トロイの木馬
普通のソフトウェアのふりをして、知らない間に悪いことをする詐欺師のようなタイプ。
危険なマルウェアの感染経路を作る役割を持っています。
(余談ですが、語源はギリシャ神話です。気になった方は調べてみてください!)
(5)ファイルレスマルウェア
最近流行りだした極悪なステルス性のあるタイプ。
ファイルやソフトウェアとしてインストールされず、PCのメモリ上で悪事を働くため、視認できず検出が困難です。
感染していることすら気付かずに被害にあってしまう、悪夢のようなマルウェア。
(6)スパイウェア
その名のとおり、情報を盗み出して攻撃者に送り込むタイプ。
感染すると、知らない間に個人情報やパスワード、Webサイトの閲覧履歴が盗まれます。
(7)アドウェア
一番攻撃力の低いタイプ。
Webの閲覧履歴などの情報を収集し、ユーザーにとって興味のありそうな広告の表示が目的のマルウェアです。(リサーチ的な動きです)
標的型攻撃
サイバー攻撃を行う相手を特定の組織に絞り込み、標的を限定して攻撃するのが特徴です。
具体的な手法は、標的に関係のある知人・取引先などになりすまし、マルウェアを混入させた添付ファイルや不正サイトのURLをメールで送ります。(標的型攻撃メール)
そして騙された標的は、マルウェアに感染したり情報を窃取されることになります。
攻撃者は事前に標的の情報を把握し、巧妙な文面で仕掛けてくるので、うっかり騙されないように気をつけましょう。
サプライチェーン攻撃
標的を直接狙わず、標的の子会社や取引先等を狙った攻撃です。
標的がセキュリティ対策を徹底していたとしても、関連する子会社や取引先等のセキュリティ対策が不十分な場合、攻撃者につけいる隙を与えてしまうことになります。
実際にあった事件ですが、「トヨタ自動車」の部品生産を行っている「小島プレス工業」がランサムウェアに感染したことが原因で、「トヨタ自動車」の工場の生産ラインが止まり、約1万3000台が生産できなかったという被害を受けました。(2022年3月公表)
スパムメール・フィッシングメール
「スパムメール」は、自動送信ツール等により無差別かつ大量に送付されるメールの総称です。
宣伝やマルウェア感染が目的のうるさいやつです。(いわゆる迷惑メール)
「フィッシングメール」は、金融機関やショッピングサイトを装って偽サイトに誘導し、ユーザIDやパスワードなどを入力させることを目的とした攻撃です。
この手のメールは、よく見ると送信者のアドレスが謎のアドレスだったり、本文の日本語がおかしかったりするので、注意深く見分けるようにしましょう。(このような偽サイトを、「フィッシングサイト」といいます!)
脆弱性を利用した不正アクセス
「脆弱性」とは、OSやソフトウェアの設計上のミスやプログラムの不具合が原因で発生する、セキュリティ上の欠陥のことです。
「脆弱性」を解消するためには、たとえばWindowsの場合、最新のセキュリティ更新プログラムを適用しておくなどの対処が必要です。
通常であれば職場のPCは、情報システム部署が更新作業を行っています。(インターネットに接続している私物のPCやスマホ等についても、できるだけ最新の更新プログラムを適用しておくと、被害にあう可能性が下がります。)
クレデンシャル再利用
「クレデンシャル再利用」とは、攻撃者がフィッシングサイトやマルウェアを用いて入手した資格情報を、別のサービスに利用してログインを試み、さらに情報を窃取する攻撃手法です。
IDやパスワードを複数サービスで使いまわしている人が多いため、この攻撃手法が蔓延しています。対策としては、パスワードを使いまわさないようにするしかありません。(個別にパスワードを覚えるのが大変ですが・・・)
被害にあわないための情報セキュリティ対策
前述のとおり、様々な脅威から情報資産を守るためには適切なセキュリティ対策が欠かせません。
ここからは、具体的に各市町村がどのような対策を行っているかを解説していきます。
まず、「日本年金機構」が約125万件の個人情報を流出させた事件(2015年6月1日)を契機として全国の自治体が取り組むこととなった「三層分離」について、仕組みや対策についてお話しします。(標的型攻撃メールが流出の要因)
三層分離とは?
「三層分離」」とは、庁内ネットワークを「インターネット接続系」「LGWAN接続系」「個人番号利用事務系」の3つのネットワークに分離することにより、セキュリティを高める対策です。(αモデル)
「インターネット接続系」は「セキュリティクラウド」(都道府県ごとに全自治体が共同で利用するセキュリティ対策のシステム)を経由した通信となり、「個人番号利用事務系」は多要素認証(生体認証・ICカード・ワンタイムパスワードetc)を導入しています。
しかしながら、各環境は特定の通信以外は行えないため、セキュリティが向上した反面、業務効率は低下してしまっているのが現状です。
そのため、各市町村ではインターネットに比重を置いた構成(βモデル)など、業務に最適なネットワーク構成を模索している状況です。
その他の情報セキュリティ対策
「三層分離」以外にも各市町村では情報セキュリティ向上のため、様々な対策を行っています。
※詳細は各市町村ごとに異なるため、あくまで一例としてご覧ください。
(1)ID・パスワードによる認証
無関係の人間が情報資産にアクセスできないよう、職員ごとにIDとパスワードを設定し、端末やシステムにログインする仕組みをとっています。
以前は定期的にパスワードを変更するのが主流でしたが、最近は複雑なパスワードを設定して長期的に利用するのがトレンドです。
(2)アクセス権の設定
部署ごとにシステムやフォルダに対するアクセス権限を設定し、自分の所属する部署以外の情報資産にアクセスができないように制御しています。
(3)ログの保存
どの職員がどの情報にアクセスしたか後で確認できるよう、ログ(閲覧履歴等)を取得しています。
これは、内部不正に対して牽制する意味合いがあったり、事件が起きた時に調査する材料とするためです。
※業務に関係ないサイトを閲覧していると、情報システム部署から事情聴取を受ける可能性がありますので、業務中のネットサーフィンはほどほどにしましょう!
(4)USBメモリ等、外部記憶装置の制御
マルウェアの混入や情報の持ち出しを阻止するために、原則外部記憶装置は利用禁止としています。
どうしても必要な場合のみ、利用する端末と外部記憶装置を限定して利用可能な設定を行います。
(5)端末や書類の適正な管理
机の上に重要な情報を置いたまま離席しない、機密文書は容易に閲覧できない場所に保管する、離席時には個人情報を表示させたまま離席しないなど、第三者が機密性の高い情報を閲覧できないような状態を保つことが大切です。
(6)サーバー室の入退室管理
重要なサーバーやネットワーク機器が設置されているサーバー室は、関係者以外立ち入り禁止とし、許可された人間のみが入室できるように制限を行っています。
また、ほとんどの自治体では、生体認証等を行わないと入室できないようにしています。
(7)不審なメールの隔離
インターネット側のメールにおいて、攻撃者が送信してくる不審なメールを受信せずに隔離する対策をとっています。
しかし、フィルターをすり抜けて不審なメールを受信してしまう場合もありますので、怪しいメールは開封せずにそのまま削除するようにしましょう!(特に添付ファイルやURLは絶対に開かないでください)
(8)Webページ閲覧の制御
フィッシングサイトやマルウェアをダウンロードさせるWebページへのアクセスを防ぐため、不審なサイトにアクセスするとブロック画面が表示される対策をとっていることが多いです。(セキュリティクラウド)
(9)書類や端末廃棄時の対策
個人情報等の機密性の高い情報が含まれている書類は、シュレッダーや焼却処分を行います。(機密性の高い書類なのに、うっかり裏紙で再利用しないよう気をつけましょう)
端末廃棄時は、ハードディスク等に記憶されている情報を完全に抹消した上で、物理的に破壊しています。(ハードディスクはドリルで穴を開ける、DVDやUSB機器は徹底的に粉砕するなど)
(10)委託業者への対策
契約書の記載事項に、情報セキュリティ対策について必要な対策を講じるよう明記しています。
また、個人情報や特定個人情報の取扱いを業務内容に含んだ委託契約を行う場合、個人情報に関する取扱の特記事項などを契約内容に付帯させ、記載内容を遵守させることとしています。
まとめ
このように各市町村では様々な対策を行っていますが、情報セキュリティを担保するためには、職員一人ひとりの情報セキュリティに対する意識が何より重要です。
ですが、少しでも怪しいな、変だな、と感じることがあったら、必ず一人で抱え込まずに周囲の人間に相談するようにしてください。
一人で悩んでいても、時間が過ぎて問題が大きくなるだけなので、何もいいことはありません。
対処が遅くなればなるほど被害が拡大するため、万が一サイバー攻撃にひっかかってしまった場合は、事後の対応を迅速に行いましょう!
ここまでお読みいただきありがとうございました!
他にも市町村職員の知識として重要なものをまとめた記事がございますので、ぜひぜひ他の記事もご覧ください♪
www.withdrawal-civilservice.com
www.withdrawal-civilservice.com
www.withdrawal-civilservice.com