2日目午前は、日本年金機構事件を受けて総務省が打ち出した「自治体情報セキュリティ対策の抜本的強化」の具体策を議論した。まず先行する2団体から報告があった。
京都府の原田智情報政策統括監は、各都道府県が構築を担う「自治体情報セキュリティクラウド」の検討状況を説明。システム共同化は任意協議会(自治体情報化推進協議会)で推進する一方、現場のインシデント対応や巡回指導は、府の情報政策課と各市町村職員とで組織する「京都CSIRT(仮称)」が担う。CSIRTは「Computer Security Incident Response Team」の略である。
「市町村の消防本部などの防災組織を手本に、管理者と実際の運用の分離を図る」(原田氏)。市町村には現行のセキュリティ経費の2倍程度の予算枠の確保を要請するが、「調達を通じ1.5倍程度にまで負担の圧縮を目指す」(原田氏)。
仮想化やサンドボックスを活用
インターネットメールの添付ファイルの無害化は、サンドボックスなど複数の手法を組み合わせる。電子申請/入札のファイルにも、同じ仕組みの活用を調整中だ。ウイルス対策ソフトやWindowsの更新は、LGWAN(総合行政ネットワーク)-ASPの利用を想定する。「2016年11月に移行を始め、2017年2月中旬には完了したい」(原田氏)とした。
奈良県総務部情報システム課の二見強史主幹は、市町村への支援策を中心に報告した。2015年12月に1回目の説明会を開催。39市町村から64人、ベンダーから50人が参加した。「総務省から2社以上の見積もりを取るよう要請があったので、そのための場を設けた」(二見氏)。加えて市町村からネットワークやセキュリティに関連する契約書を集め、契約形態や金額・期間を把握。団体数、職員数、接続台数で割った際の負担額を試算して提示した。
富山県の半田氏は、京都府の調達範囲とCSIRT組織での対応を質問。原田氏は、「調達範囲はファイアウォールからフィルタリングまでの基礎部分と、オプションのVDI(仮想デスクトップ環境)、メール無害化、インシデント初期対応まで。運営業者からアラートがあったら、府のCSIRTが市町村CSIRTを支援する。小規模団体は府が全面的に対応することも想定している」と答えた。
福島県企画調整部の岡部隆次長(情報統計担当)は、オプション契約の費用と市町村の意向を尋ねた。原田氏は「VDIは1ユーザー年間1万円以内、メール無害化は年間1000円程度。前者は9割、後者は全市町村が利用する意向」と回答した。
