今回で15回目を迎えた都道府県CIOフォーラムの年次総会(2017年8月24日と25日の2日間開催)。自治体情報セキュリティクラウドと庁内ネットワークの強じん化について議論した初日は、「ファイル無害化」も主要テーマに挙がった。

川口 弘行氏
川口 弘行氏
佐賀県 総務部 情報課 情報監
[画像のクリックで拡大表示]

 佐賀県総務部情報課の川口弘行情報監は、ファイル無害化の取り組みを説明した。「独自開発し無償公開もしているソフト、サニタイザーを使用している。処理は通常数秒から数十秒で済み、1分以上かかると強制切断される」。CADソフトや政府外郭団体が用いるファイル形式は、送信元に連絡して仕様を公開してもらい対応するなど、「利用者から不具合情報をいち早く入手し、使い勝手を高めている」(川口氏)。資金力の劣る市町村には組み込み済みPCを貸与する準備をしてあるが、実績はまだないという。

二見 強史氏
二見 強史氏
奈良県 総務部 情報システム課 CIO補佐官
[画像のクリックで拡大表示]

 奈良県総務部情報システム課の二見強史CIO補佐官は、同県のユニークな事情を報告した。「ファイル無害化は県ではVotiroを使用しているが、市町村の多くはNTTデータ関西が提供する電子申請システムを使っている。インターネット側からファイルを投入し、LGWAN側から無害化されたファイルを取り出す。使い勝手がよいとは言えないが、無料なので使っている状況だ」。

 熊本県企画振興部交通政策・情報局の島田政次情報企画課長は「当県は特定通信注1)を利用して、特定端末から庁外サーバーへの直接アクセスを許可している。他団体の状況はどうか」と質問。北海道総合政策部の村上順一情報統計局長は「考えているが対応していない」、佐賀県の川口氏は「特定通信は一切しないポリシー。インターネット系は特定の人にだけ開放している」と回答した。

全国統一クラウドは可能か

 セキュリティクラウドによる効果の報告もあった。京都府政策企画部の原田智情報政策統括監は、「標的型攻撃の被害を防ぐため、exeファイルが添付されたメールはすべて本人に届かないようにした。攻撃メールの検知数は、ランサムウエアWannaCryが拡散した5月には平常時の10倍、6月には40倍にも達した。職員から苦情もあったが感染はなく、半ば強制的に止めた成果が出た」と報告した。

 広島県では破棄した標的型メールが6割減少した。「セキュリティクラウド稼働前の5月は攻撃メールを7万件破棄したが、稼働後はスクリーニングされ3万件まで減少。WannaCryもそれまで1600件破棄したが、稼働後は10数件にとどまっている。職員が開封したケースは稼働前は7件、稼働後の6月は1件で大きく減った」(総務局の桑原義幸情報戦略総括監)。

藁科 至徳氏
藁科 至徳氏
神奈川県 情報統括責任者(CIO)
[画像のクリックで拡大表示]

 今後、セキュリティクラウドの仕様を全国で統一すべきという意見も出た。神奈川県の藁科至徳情報統括責任者(CIO)は、「5年後の更新に向け、国が音頭を取って全国共通のシステムを作るのが重要。全国知事会へも提案した」という。北海道の村上氏は「5年はあっという間。クラウド集約とポリシー標準化を議論していくのが重要」と結んだ。

 意見を求められた地方公共団体情報システム機構(J-LIS)の藤原通孝個人番号センター長は、個人の意見と断ったうえで、「鳥取県と岡山県の共同化が実現しており、全団体に広げられればと思う。共同化では更新時期の相違が障害になるが、セキュリティクラウドはほぼ同時に導入している」と期待を示した。

注1)特定通信
庁内ネットワークの強じん化対策で、インターネットとの分離が求められる個人番号利用事務系およびLGWAN接続系において、例外としてインターネット接続を認める通信。MACアドレス、IPアドレス、ポート番号を指定するなどの条件がある。