ALSI (アルシー)

アルシー セキュリティブログ

ガバメントクラウドとは?セキュリティ要件や課題、対策方法を解説

ガバメントクラウドとは

ガバメントクラウドとは、行政システムを統一されたクラウド上に集約し、中央省庁や地方自治体などすべての行政機関が共同利用できるようにしたITプラットフォームです。

現在の行政システムは、それぞれの機関が独自に構築・運用を行うため仕様が異なり「連携がうまくいかない」「保守運用のコストがかかる」といった悩みがあります。これらの解決策として登場したのが、すべての行政システムをまとめて1つのクラウド環境に構築するガバメントクラウドです。

政府は2025年度末までに、すべての自治体が住民基本台帳や国民年金、介護保険など20の対象業務データをガバメントクラウドへ移行することを目指しています。

ガバメントクラウドの仕組み

各アプリケーション開発ベンダーは、標準仕様に準拠した基幹業務アプリケーションをガバメントクラウド上に構築します。自治体はその中から自分たちに最適なものを選択し、オンラインで利用します。各自治体がアプリケーションに格納するデータを標準化することで、別のアプリケーションからもデータの参照・連携が可能です。

202402-1.png

ガバメントクラウドの目的とメリット

ガバメントクラウドの主な目的とメリットは次のとおりです。

 ・ITインフラ構築/運用コストの削減
 ・クラウドが提供する可用性、スケーラビリティの活用
 ・最適なアプリケーションの選択によるユーザビリティの向上
 ・スムーズなデータ連携/データ移行

ガバメントクラウドにおけるセキュリティ要件と課題

次に、ガバメントクラウドにおけるセキュリティ要件と課題について解説します。

ガバメントクラウドのセキュリティ要件

ガバメントクラウドでは、基盤となるクラウドサービスが持つセキュリティ対策を活用します。ガバメントクラウド対象のクラウドサービスは次のとおりです。

 ・Amazon Web Services
 ・Google Cloud
 ・Microsoft Azure
 ・Oracle Cloud Infrastructure
 ・さくらのクラウド

国としてガバメントクラウドから提供する共通のセキュリティ機能はCDN (Content Delivery Network) とWAF (Web Application Firewall) です。これら以外のセキュリティ機能は、自治体側で準備する必要があります。

パブリッククラウド利用におけるセキュリティ課題

ガバメントクラウドとはあくまで利用環境を指し、一般的なクラウドサービス上に構築されているものです。そのため、パブリッククラウド特有のセキュリティ課題に注意しなければなりません。パブリッククラウドでとくに深刻な問題となっているのが、情報漏えい事故です。

パブリッククラウドで発生する情報漏えいの主な要因は次のとおりです。

1.不正アクセス
 セキュリティの脆弱性を利用して悪意のある第三者がシステムに侵入し、データを窃盗する。

2.設定ミス
 公開設定のミスやアクセス権限の不適切な管理などが原因でデータが外部に流出する。

3.内部不正
 組織内部の人物が意図的、もしくは不注意によりデータを漏えいさせる。

4.マルウェア
 不正なメールの添付ファイルやWebでのダウンロードを通じて悪意のあるソフトウェアがシステムに侵入してデータを盗む、または破壊する。

自治体における必要なセキュリティ対策

パブリッククラウドからの情報漏えいを防ぐための対策方法

前章で挙げたパブリッククラウドにおけるセキュリティ課題を防ぐためには、次のような対策が有効です。

1.不正アクセスへの対策
 ・OSなどのソフトウェアを最新の状態に保つ
 ・多要素認証などの強固な認証方法を導入する

2.設定ミスへの対策
 ・利用状況や設定ミスを検知するツールを導入する

3.内部不正への対策
 ・操作ログを収集する
 ・ユーザーの利用状況を可視化・制御する

4.マルウェアへの対策
 ・アンチウイルスソフトを導入する
 ・ファイアウォールを設定する

情報漏えいの要因となるセキュリティ課題の対策にはクラウド側の設定に加えて、端末からのデータ流出の対策も必要になります。

端末側の情報漏えい対策としてデータ暗号化が効果的

上記はパブリッククラウドにおける対策としては有効ですが、自治体からの情報漏えいを100%防ぐことはできません。そこで、端末側からの情報漏洩対策として効果的なのがデータの暗号化です。データを暗号化しておけば、仮にデータが流出した場合でもその中身を守ることができます。

東京商工リサーチが2022年に発表した「上場企業の個人情報漏えい・紛失事故」調査によると、情報漏えい事故の件数は2年連続で最多を更新しています。

202402-2.png

引用:個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~ | TSRデータインサイト | 東京商工リサーチ

また、マルウェアに感染すると、データが破損するおそれもあるため、データのバックアップを取得しておくことも有効です。

また、ノーウェアランサムと呼ばれる手口が発生しています。ノーウェアランサムはランサムウェアを利用したデータの暗号化を行わず、気づかれないうちにデータ窃取と公開を実施、その引き換えとして対価の支払いを要求する手口です。警察庁の報告書でも言及されているほか、実際に自治体でも被害が発生しているため注意が必要です。

伊丹市が暗号化されない「ノーウエアランサム」の被害に、健診データが対象 | 日経クロステック(xTECH) (nikkei.com)

9割の情シスが認めた※"意識しない"次世代ファイルセキュリティ

「ファイルを簡単に暗号化したい」「セキュリティを強化しつつも利便性は損ないたくない」というニーズに最適なのが、自動ファイル暗号化ソフト「InterSafe FileProtection」です。InterSafe FileProtectionを導入することで、手間をかけずにデータを保護できます。

ノーウェアランサムに対してもInterSafe FileProtectionで暗号化しておけば、データが流出しても外部では開けないため対策が可能です。

普段どおりの操作性

作成したファイルは特別な操作やパスワード管理は不要で、保存場所を問わずすべて自動的に暗号化されます。いつものダブルクリックで閲覧でき、拡張子(アイコン)も変わらないため利便性を損ないません。

高いセキュリティ性能

電子政府推奨の暗号化アルゴリズムを採用しており、個人情報保護委員会への報告は免除されます。また、サーバもしくはクライアントPCへ暗号化ファイルの自動バックアップを行います。これにより、マルウェア感染や災害発生時にデータが破損した場合でも早期復旧が可能です。

※弊社が2023年に実施したInterSafe ILPユーザー向けのアンケート調査結果に基づく

まとめ

ガバメントクラウドは、行政システムをクラウド上に集約したプラットフォームです。コスト削減やユーザビリティの向上など多くの効果が期待されます。一方で端末からの情報漏洩は年々増加しており、ガバメントクラウド移行後も端末側からの情報漏洩に対するセキュリティ対策が必要です。

そこで、効果的なのがデータ暗号化です。「InterSafe FileProtection」は、利便性を損なわない操作性と高いセキュリティ性能を提供します。ガバメントクラウド移行後の情報漏洩対策をご検討の方はお気軽にお問い合わせください。

InterSafe FileProtectionの詳細はこちら

contact.png

おすすめ記事

最新記事

市場動向

【金融業界必見!】金融ガイドラインに沿ったWebセキュリティ対策とは?

ネットワーク分離フィルタリング市場動向

【金融業界必見!】金融ガイドラインに沿ったWebセキュリティ対策とは?
市場動向

【医療機関におけるサイバーセキュリティの最前線】VPNと分離環境の課題を解決する方法とは?

ネットワーク分離医療市場動向

【医療機関におけるサイバーセキュリティの最前線】VPNと分離環境の課題を解決する方法とは?
ランサムウェア対策

金融庁サイバーセキュリティガイドライン策定!金融機関が対処すべきセキュリティ対策のポイントとは

エンドポイントセキュリティゼロトラストランサムウェア対策市場動向

金融庁サイバーセキュリティガイドライン策定!金融機関が対処すべきセキュリティ対策のポイントとは