DXはセキュリティと利便性の両立を 全国地域情報化推進協会

自治体情報セキュリティガイドラインの改定や自治体DX推進計画の公表、ガバメントクラウドの整備方針など、自治体DXの動きが本格化している。DX推進や、セキュリティ強靭化と利便性の両立に向けたポイントについて、全国地域情報化推進協会（APPLIC）の吉本明平氏が解説する。

吉本 明平（全国地域情報化推進協会 企画部担当部長）

情報システムの標準化が義務に
自治体に求められる意識変革

2020年12月に総務省が策定した「自治体デジタル・トランスフォーメーション（DX）推進計画」は、DXに向けて自治体が重点的に取り組むべき事項を具体化し、関係省庁による支援策等を取りまとめたものだ。計画は①情報システムの標準化・共通化、②マイナンバーカードの普及促進、③行政手続のオンライン化、④AI・RPAの利用推進、⑤テレワークの推進、⑥セキュリティ対策の徹底、と６つの重点項目を挙げている。

総務省「地方自治体のDX推進に係る検討会」の構成員として自治体DX推進計画の策定に関わった全国地域情報化推進協会（APPLIC）企画部担当部長の吉本明平氏は、「中でもいま自治体にとって最も重要なのは、情報システムの標準化・共通化です。2021年に地方公共団体情報システムの標準化に関する法律が成立し、これまで自治体の自主性に任されていた標準化が、自治体の基幹系業務システム（17業務）については、法定義務化されました。さらに、2025年度末までに政府が調達するガバメントクラウド上の標準準拠システムに移行することも努力義務とされています」と話す。

表1　地方自治体の業務システムの統一・標準化 スケジュール

出典：内閣官房IT総合戦略室2021年1月「地方自治体の業務プロセス・情報システムの標準化の作業方針の見直しについて」より一部抜粋

なぜ政府はこれほど急ピッチで自治体のDXを進めているのか。総務省が設置した自治体戦略2040 構想研究会が2018年にまとめた第二次報告では、人口減少社会に伴い自治体の職員数が半減する未来を予測し、住民サービスを維持するには、AIやRPAなどの技術を活用したスマート自治体への転換や、行政の標準化・共通化が必要だと指摘している。

「つまり、デジタル化によって抜本的に変わらなければ自治体は早晩破綻する、システムやサービスの独自性と言っていられる状況ではないということです。標準化・共通化の法定義務化やガバメントクラウドへの移行は、厳しい状況を打破するために必須の取り組みです」

自治体のDXを後押しするために、総務省は2021年7月に「自治体DX推進手順書」を公表。自治体情報システムの標準化・共通化と行政手続きのオンライン化について、それぞれ作業手順等を解説している。

ただ、DXの本質を全国すべての自治体が理解しているわけではない。吉本氏は「DXのポイントはDigital（技術の活用）よりTransformation（変革）にあります」と指摘する。

「デジタル社会とはデジタルIDでの生活がリアルよりも優先している社会、言い換えれば、外出禁止よりもスマートフォンを取り上げられることの方が辛い社会です。DXとはデジタル社会へ対応できるように意識変革をすることであり、デジタルファーストとはデジタル社会を前提としたビジネスモデルへの変容を指します。民間だけでなく自治体にもそれが求められています。行政モデルをデジタルファーストに変容させ、すべての行政サービスをオンライン上で実現する必要があります」

セキュリティと利便性の両立
「ゼロトラスト」がキーワード

吉本氏は「サービスや業務をDXの観点から見直していくと、情報セキュリティと利便性をどう両立するかがポイントになります」と話す。

従来の自治体の情報セキュリティ対策は、いわゆる「三層分離」が基本になっていた。これは自治体内部のネットワークをマイナンバー利用事務系、LGWAN接続系、インターネット接続系に分離するものだ。

三層分離はセキュリティ上堅牢だが、行政サービスのオンライン化やテレワークなどのDXを進める上では極めて不便だった。

この課題に対し、総務省は2020年12月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を改定。三層分離の基本的な枠組みを維持しつつ、効率性・利便性の高いモデルとして、インターネット接続系に主たる業務端末を置き、入札情報や職員の情報等重要な情報資産はLGWAN接続系に配置する「βモデル」を例示した。また、マイナンバー利用事務系を除く業務システムをインターネット接続系に移行する「β’モデル」も提示された。

さらに、職員自宅等から自治体LGWAN接続系へのテレワークを可能とする「自治体テレワーク実証実験」を2020年に開始。2021年5月にはマイナポータルにLGWANとの接続機能が実装され、自治体はLGWANASPサービスを利用することなくオンライン申請の受付が可能になった。

「このように、従来の三層分離は見直され、どの層もインターネットに繋がり始めています。では、セキュリティはどのように担保すれば良いのか。『繋がる時代』に大切なのはゼロトラストという考え方です」

ゼロトラストとは、従来の境界型セキュリティアプローチのような「安全で信頼できる組織内」と「危険な組織外」という前提ではなく、「組織内外のあらゆる領域が潜在的に危険である」という前提で、多要素認証やデバイス可視化、エンドポイント対策などの技術を用いてセキュリティを実装するアプローチだ。

表2　ゼロトラスト・アーキテクチャのネットワーク構成における前提条件

出典：米国国立標準技術研究所（NIST）SP800-207 「ゼロトラスト・アーキテクチャ」をもとに情報処理推進機構作成

「どのネットワークならば安全、どのデバイスならばチェックしなくていい、という考え方ではなく、すべてのデバイス・ネットワーク・アプリは危険性を持つため、必ず安全性をチェックしながら利用しようという発想です。ゼロトラストを実現すれば、ネットワーク分離という発想自体が不要になります」。ゼロトラストならば、セキュリティと利便性を高いレベルで両立することが可能になるだろう。

「ガバメントクラウドへの移行を含めた自治体DXは、この４～５年で達成しなければなりません。こらの自治体の組織づくりや人材づくりの一番の要点は、デジタルファーストの発想へと職員の意識を切り替えることだと思います」と吉本氏は指摘する。