政令市・中核市CIOフォーラム 変わる自治体 突破を拓くテクノロジー

自治体システムに求められる、セキュリティ対策の“次なる一手”

自治体では、「自治体情報システム強靱性向上モデル」と「自治体情報セキュリティクラウド」への対応が完了した。よりセキュリティが強固になったが、しかし一方でセキュリティ対策では100%の安全は存在しない。だとすれば、セキュリティクラウドなどへの対応を活かしつつ、どういった対策が有効となるのだろうか。セキュリティのプロは、次なる一手として念頭におくべきことは「“安全宣言”を出せる環境を整えられるか」だという。

「安全宣言」を出せる体制こそが真の対策

300

トレンドマイクロ株式会社
業種営業推進グループ 公共担当
シニアマネージャー
渡辺 政宏氏

総務省における自治体の情報セキュリティ対策についての抜本的強化の提言により、全国の自治体では、2017年7月までに「自治体情報システム強靱性向上モデル」と「自治体情報セキュリティクラウド」への対応が完了している。
 「こうした一連の取り組みにより、これまで自治体が抱えていたセキュリティ上の様々なリスクが解消されたことは事実です。しかし、自治体の方々も認識している通り100%の安全性が担保できているわけではない」と指摘するのは、トレンドマイクロの渡辺政宏氏だ。
 特定の組織を狙った標的型攻撃の脅威が高まる中、かねてより、“侵入を前提とした”対策の重要性が強調されてきたことは周知の通りだ。自治体情報セキュリティクラウドに施されている、ファイアウォールやIDS/IPS(不正侵入検知・防止)、サンドボックスなどの対策をすり抜けて、脅威が侵入してくる可能性のあることも想定しておかなければならない。さらに、情報セキュリティ上重要なのは「侵入してしまったマルウエアなどの内部活用を調査できる状態にしておくこと」だと渡辺氏は強調する。
 何よりも、自治体においてウイルス感染などのインシデントが発生すると、それによるインパクトはきわめて甚大だと言わねばならない。ウイルス感染をするとLGWANや住基ネットとの接続を遮断しなければならない状況に陥ることが想定される。さらに、自治体情報セキュリティクラウドを運営する都道府県側でも当該自治体との接続を切る処置がとられるだろう。
 「これによって引き起こされるのは、住民サービスを含む広範な業務が停滞してしまうという状況です。さらに、ひと度、インシデントの発生によってそうした状態に陥ると、今度は完全復旧させるにも非常な困難が伴います」(渡辺氏)。
 というのも、仮にその原因となったウイルス等の駆除が完了したとしても、システム全体の安全性が立証されない限り、LGWANや住基ネット、自治体情報セキュリティクラウドへの再接続について、関係機関からの了承を得ることができないからだ。自治体が「収束宣言」や「安全宣言」を行えないことは、結果、いたずらに業務の停滞が継続することになってしまう。
 「こうしたリスクを踏まえて、自治体に求められるのは、例えば標的型攻撃などで侵入したマルウエアが行う外部サイトとの不正な通信など、内部的な活動にいち早く気づけること、そして、それらマルウエアの侵入、内部活動の全体像の調査を可能にすることです」と渡辺氏は対策上のポイントを説明する。

脅威情報の可視化が逆に安全性の根拠に

トレンドマイクロでは、こうした要求を満たす製品として「Trend Micro Deep Discovery Inspector」(以下、DDI)を提供している。DDIでは、ネットワークの入口/出口、そしてネットワーク内部を俯瞰するカタチで監視を行い、標的型攻撃の活動を捕捉し、マルウエアの感染についても端末IPレベルで特定することが可能だ。特に今日の標的型攻撃では、情報収集、初期侵入から、C&C通信によるマルウエア本体のダウンロード、内部活動といった段階的なアプローチがとられる。これに対しDDIでは、攻撃が現在どのフェーズにあるのかなどを含めた脅威の可視化を可能にする。
 また、内部通信で利用される100種類以上のプロトコルに対応し、攻撃に利用されがちな正規通信を含めた記録・解析が行えること、さらには不審な通信やファイルの相関分析を1台で実施できるなどもDDIの特徴と言えるだろう。
 このようなDDIを活用することで、ユーザーは脅威の侵入やその活動にも速やかに気づき、適切な対処を早期に行うことで、インシデントの発生を未然に防ぐことができる。万一、脅威の侵入を許してしまった際も、内部活動を含めた攻撃の全体像を明らかにすることができるので、根本的な原因究明にも役立つ。
 また、原因が除去された暁には、逆にシステムが安全な状態であることを明らかに示すためのツールとしても活用できる。「要するに、自治体のインターネット系、LGWAN系、個人番号利用事務系の各セグメントにDDIを導入し、ネットワーク監視を行って可視化された情報が、安全宣言、収束宣言を行う際の根拠ともなるわけです。これにより、不幸にしてインシデントが引き起こされてしまった際にも、問題除去後の業務の復旧も早期かつ円滑に行えるはず」と渡辺氏は説明する。

サーバーセキュリティの重要性

こうしたネットワーク監視に加えて、もう1つ今日の自治体システムのセキュリティを担保するうえで重要なポイントとなるのが、サーバーにおける対策の強化である。というのも、メール等で侵入し、エンドポイントの端末に感染した標的型攻撃のマルウエアが、一般に活動、攻撃の拠点にするのは24時間稼働しているサーバーである。にもかかわらず、そこに十分な対策を施している自治体は意外に少ない。
 トレンドマイクロでは、サーバーセキュリティにかかわるトータルな対策を実現する製品として「Trend Micro Deep Security」(以下、Deep Security)を提供する。同製品では、ウイルス対策からIDS/IPS、Webレピテーション、ファイアウォール、Webアプリケーション保護、ファイル・レジストリの変更監視、そして仮想パッチといったセキュリティ機能を網羅的に装備。物理サーバー、仮想サーバー、クラウド上のサーバーといった各環境に適合する対策を実現している。「特に仮想サーバーについては、システムの性能劣化を最小化するエージェントレス型でのウイルス対策を実現。今日、自治体においても活用が進むVDI(Virtual Desktop Infrastructure)環境にも最適な対策ソリューションを提供しています」と渡辺氏は語る。
 セキュリティ上の脅威は時とともに変化し、さらに巧妙化を遂げていく。そうした観点から、セキュリティ対策にゴールというものは存在しない。陳腐化しないセキュリティ対策が必要となるのだ。トレンドマイクロでは、滞りのない自治体行政、住民サービスを継続するためのセキュリティ “次なる一手”を強力にサポートする。

※TREND MICRO、Trend Micro Deep Security、Deep Discovery Inspectorは、トレンドマイクロ株式会社の登録商標です。

ネットワーク分離環境での監視(内部対策イメージ)
[図版のクリックで拡大表示]

Deep Securityが、サーバー保護に必要なセキュリティ対策を網羅して提供するほか、Deep Discovery Inspectorが内部活動の検知から安全宣言の根拠となるインシデント全体像の調査を実施する


【お問い合わせ】
トレンドマイクロ株式会社
https://www.trendmicro.com/ja_jp/
TEL:03-5334-3601(法人お問い合わせ窓口)
お問い合わせフォーム
https://www.trendmicro.com/ja_jp/contact/contact-us.html

▲ページの先頭へ