広告掲載のご案内
ご購読申込み
三層分離からゼロトラストへ DX社会の自治体セキュリティ対策
デジタル社会の実現に向けて、サイバーセキュリティ対策は外せない重要な課題だ。自治体に求められるセキュリティ対策や「ゼロトラスト」のポイントについてPwCコンサルティングの丸山氏が解説する。
丸山 満彦 PwCコンサルティング パートナー
コロナ禍で増加するサイバー攻撃
日本の人口は2042年には1億1000万人を下回る見込みだ。とくに地方ほど人口減少は加速しており、交通や医療、教育などのサービスの維持が困難になることが予想される。
「AIやデータを活用したDXによってSociety5.0を実現し、人口減に伴うこれらの課題を克服する必要があります。サイバー空間とフィジカル空間が高度に融合したSociety5.0は、エッジコンピュータ+インターネット+クラウドによって支えられた社会です。今後はエッジコンピュータの入力装置が多様化することが予想され、サイバー空間をいかに守るかが重要になります」とPwCコンサルティング合同会社パートナーの丸山満彦氏は、これからの時代のセキュリティ対策の重要性を指摘する。
足元の状況を見てみると、コロナ禍の中でサイバー攻撃の件数は増加している。その背景にはテレワークを行うネットワーク環境の脆弱性などがある。政府機関や自治体、学校や病院などの公的機関を狙ったサイバー攻撃も多いが、自治体では庁舎ネットワークの外部侵入事故事例は見当たらないという。これは、自治体内部のネットワークをマイナンバー利用事務系、LGWAN接続系、インターネット接続系に分離する「三層分離」の効果によるところが大きい。
自治体にも求められる
「ゼロトラスト」への転換
しかし、自治体業務の効率化やDXを踏まえたインターネットの活用を考慮すると、今後は三層分離に依存した自治体のセキュリティ対策は見直しが必要になってくる。総務省が2020年12月に改定した「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、インターネット接続系に主たる業務端末を配置するアーキテクチャ(βモデル、β'モデル)が提示された。
「アーキテクチャの変更に伴い、セキュリティの考え方の変更も必要です」と丸山氏は指摘する。
「インターネット接続系で日常業務の多くが行われるβモデルは、一般企業と同等のセキュリティ対策が最低限必要です。現在の企業は、境界防御に頼ることなく、接続の都度、リスクに応じて正当性を確認して、リソースにアクセスさせる『ゼロトラスト』というセキュリティ概念への転換が進んでいます」
ゼロトラストは、ネットワークの場所に関係なくすべての通信を保護すること、リソースへのアクセスをセッション単位で付与すること、リソースへのアクセスはクライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定することなどが考え方のベースとなる。デバイス・ユーザ・コンテキストの3つの検証対象について、その正しさや行動の適切さを都度確認することがポイントであり、デバイスではサイバー・ハイジーン(衛生管理)、ユーザはID及びアクセス管理、コンテキストはログ監視・ユーザ行動検証といった対策が求められる。
「ゼロトラストは、サイバー攻撃や内部不正への耐性は境界防御に比べて高く、ユーザの利便性も向上できますが、都度確認するため実装や運用は簡単ではありません。ゼロトラストの構築は、これらの特性を踏まえて戦略を持って段階的に行うことが推奨されます」と丸山氏は指摘する。
お問い合わせ
タニウム合同会社
Tel:03-4577-7960
Mail:jpmarketing@tanium.com
URL :https://www.tanium.jp/
この記事に関するお問い合わせは以下のフォームより送信してください。
