自治体が見直すべきセキュリティ対策 リスクアセスメントが重要に

2020年12月に続き、22年3月にも再改定された自治体の情報セキュリティポリシーに関するガイドライン。同改訂に係る検討会の座長を務めた東京電機大学名誉教授の佐々木良一氏が、改訂の狙いや、自治体DXを支える情報セキュリティの在り方について解説する。

佐々木 良一（東京電機大学 名誉教授 兼 同大学サイバーセキュリティ研究所　客員教授）

2つのターニングポイント
厳しさを増すサイバー攻撃

2021年5月、米国の石油パイプライン企業がランサムウェアによる攻撃を受け、業務全体を一時停止、燃料供給が遅延する事態となった。攻撃者はロシアの犯罪グループDarkSideだ。

図1　ランサムウェアの被害

ランサムウェアは悪質化し、国内での被害件数も増加した

出典：警視庁資料

こうしたサイバー攻撃による脅威は大きく3つ。情報を不当に見られる機密性の喪失、情報の破壊・改ざんといった完全性の喪失、不当な利用によりデータやコンピュータパワーが使えなくなる可用性の喪失、だ。

対して攻撃への対策としては、論理的セキュリティと物理的セキュリティがある。物理的セキュリティは、入退場管理、バックアップセンターの設置など、物理的なものでの対策。論理的セキュリティには、暗号化・アクセス制御・ウイルス対策などの技術的セキュリティ、セキュリティポリシーの策定・運用・監査・見直しなどの管理的セキュリティ、教育、訓練などの人的セキュリティがある。

佐々木氏は「サイバー攻撃の歴史には、大きく2つのターニングポイントがあると考えています」と話す。

第1のターニングポイントは2000年。科学技術庁のホームページ改ざんを機に、セキュリティ対策が注目されるようになった。第2のターニングポイントが2010年。Stuxnetの出現で核燃料製造の遠心分離機への攻撃が行われ、イランの核開発が1年以上遅れたと言われている。

「2つのターニングポイントを比較すると、攻撃目的は面白半分や主義主張から、金銭目的や国家による指示にまで広がっています。攻撃者はハッカーに、犯罪者、スパイ、軍人なども加わり、攻撃対象もWebなどの一般的なITから重要情報インフラに及んでいます。最も特徴的なのが攻撃パターンで、不特定多数から特定少数、標的型と言われる形へ変化。攻撃率も高くなり、従来の攻撃が風邪なら、新しい攻撃はインフルエンザと言われるほど、厳しくなってきています」。

自治体セキュリティガイド
2015年、2020年の改訂ポイント

サイバー攻撃の厳しさが増すなか、2015年に自治体セキュリティガイドラインの改訂が行われた。

2015年の自治体情報セキュリティ対策の抜本的強化においては、最高情報セキュリティ責任者（CISO）の設置やインシデント対応チーム（CSIRT）の強化など、組織的な対策を提案。また、マイナンバー系、LGWAN接続系、インターネット接続系の分離を行うことで安全性を確保する『3層分離』の考え方が示された。「予算がついたこともあり、地方自治体におけるセキュリティ対策は非常に進展したと考えています」。

2015年の改訂でインシデント数は大幅に低減したが、自治体内の情報ネットワークの分離・分割による事務効率の低下が問題となった。2020年の再改訂では、LGWAN接続系とインターネット接続系の分割の見直しを行うと同時に、リスクアセスメントの重要性について言及した。

リスクアセスメントには、対象に対しどんなリスクがあるか明確にする「リスク特定」、各リスクの大きさを推定する「リスク分析」、分析したリスクの大きさと基準となるリスクを比較して評価する「リスク評価」等がある。

リスクアセスメントのアプローチ法は様々あるが、2020年の改訂では、例えば、情報資産などに対し、資産価値、脅威、脆弱性、セキュリティ要件を識別してリスクを評価していく「詳細リスク分析アプローチ」を望ましいアプローチと推奨している。なかでも、比較的低コストで相互比較が可能になる準定量的アプローチ法を勧めた。

具体的には、独立法人情報処理推進機構セキュリティセンター（IPA）のセキュリティリスク分析ガイドに沿ったリスク分析法をベースとし、セキュリティ対策におけるリスクアセスメントの実施を推進している。

また、2022年3月の再改訂においては、2020年の改訂から大きな変更はないが、多様な働き方を前提とした情報セキュリティ対策（テレワーク、BYOD、WEB会議）などを追加している。

ITからIoTも視野に入れた対策を

サイバー攻撃については今後、被害の大型化が予想される。2018年には国内で仮想通貨取引所を運営するコインチェックが、580億円相当の仮想通貨が流出したと発表。「仮想通貨を中心に、今後、被害額はますます増えていくことを覚悟する必要があります」佐々木氏は指摘する。

被害形態も多様化している。例えば、最近のランサムウェアでは、標的型といって特定少数の組織への攻撃が増えている。また、2重脅迫型も出てきた。暗号による業務妨害をすると同時にデータの公開をちらつかせ、身代金を要求する。2020年下期には21件だったランサムウェアの攻撃が21年上期には61件に増え、2重恐喝が77％、暗号資産による支払要求が90％にのぼる。さらに、復旧には多大な時間がかかるといった問題が深刻化している。

攻撃対象も多様化しており、PCだけでなくIoTをターゲットとした攻撃も視野に入れる必要がある。例えばセキュリティ実務家のためのイベント「Blackhat USA2015」では、攻撃者が数マイル離れた自宅から自動車のハンドル操作、ブレーキの無効化、高速走行中のエンジンの停止など遠隔操作を現実的に行えることが示された。

図2　IoT機器

IoT機器も攻撃ターゲットになる。時には人命にかかわる可能性が危惧されている

「サイバー攻撃はITだけでなくIoTも対象となっていきます。例えば、上下水道システムもターゲットになるということです。IT以上にIoTのセキュリティの重要性が高くなっていくと言えます」。

上下水道システムがサイバー攻撃のターゲットとされる可能性もある（写真はイメージ）

攻撃が厳しくなるなか、大きな流れとしてクラウド化への移行が不可欠となっていく。今後は、クラウド化を見据えたセキュリティ対策、政府統一基準群におけるゼロトラストアーキテクチャーの反映などが課題だ。

佐々木氏は、実効性のある自治体情報セキュリティ対策に向け、「地方自治体向けのセキュリティガイドは様々な形で出ています。こうしたガイドを守ることは重要ですが、様々な理由からそれ以外の対応が必要な場合もあると思います。その場合はリスクアセスメントをしっかりと行い、コストや安全性、使い勝手の面で問題点をクリアできるシステムにしていくことが重要です」と話した。