なぜ自治体でクラウド活用が進まないのかを考察してみた 第2夜
生まれてこのかた、故郷から一歩も外に出ていない僕が、地域の情報化アドバイスなんてできるのか?と絶賛自問自答中の山形です。
※まだ第1夜をご覧になっていない方はぜひこちらからご覧ください
さて、第1夜では、自治体は「えもいわれぬ不安」から来る「君子危うきに近寄らず型整備」をしがちで、そのせいで、本質的なセキュリティについて考えることをやめてしまっているのではないか、と、推測しましたが、それでは、その「えもいわれぬ不安」から解放されるにはどうしたらよいのでしょうか。
インターネット分離は本当にダメなのか
最も重要なのは自治体としての「リスク」を明確化させるところからではないかと思います。
現在、これを考える上で避けて通れない「インターネット分離」について、まず掘り下げていきたいと思います。
なぜ、インターネット分離が国を挙げて行われたのか、背景のひとつに、年金管理システムサイバー攻撃問題があると思いますが、皆さんの組織では「攻撃に対して完璧な対応をしており、全く問題はなかった」と必ずしも言い切れたでしょうか。
更にインターネット分離後も、「推奨されていない利用方法を行なっている職員は全くいない」と言い切れているでしょうか。正直僕にはできません。
デジタルデータの情報漏洩が起きる原因として考えれらるのは、大きく分けて2つ
- 悪意の漏洩(内部ユーザが悪意を持って情報を持ち出す)
- 善意の漏洩(意図せず、情報が漏洩してしまう。)
です。
悪意の漏洩については言うまでも無い犯罪行為ですので、組織が定めたセキュリティポリシーに則り、時代に合わせた対策を行えば良いと考えます。しかし、問題は善意の漏洩です。
年金機構の問題でもありましたが、往往にして善意の漏洩は、「誰でもクリックしてしまうような、巧妙な電子メールの添付ファイル」からのウィルス感染や、「メールの誤送信・誤添付」、「業務委託先からの情報漏洩」など、単純に「気をつけてください」では回避できないものばかりです。
全ての職員のICTリテラシーがセキュリティを専門とするようなIT企業のように高ければ(想像)このような問題は起きづらいのかもしれませんが、現状でそれを望むのは無理です。
そこで出てきたのが、「インターネット分離」だったのではないでしょうか。
インターネット分離の本質はインターネット分離にあらず
当初インターネット分離の話が出てきた時、僕は時代錯誤も甚だしいと憤慨していました。
しかし、実際に組織がどのような状況なのかを考えながら、「ネットワーク強靭化」で言われる「三層の構え」を組み合わせていくと次のような考えとなっていきました。
- マイナンバー利用事務系=基幹系
絶対に漏洩していけない重要な情報、特に個人情報を多く含むもの。 - LGWAN接続系=一般事務系のうち重要情報等を取り扱う事務系
現在は漏洩してはいけない情報。入札情報や町の重要情報。 - インターネット接続系=上記を除く事務系
公開を前提とする情報。
これらは、単純にインターネットを分離するという事では無く、「強固に守るべきデータを扱う場所」と「公開前提のデータを扱う場所」の見極めに本質があり、それを実現させるには、現在我々が行なっている業務の洗い出し・棚卸しの必要性をあることを痛感しました。まさしく「情報分離」です。
情報分離
インターネット分離はこれらを一律で行うための、一種のショック療法的なものだったのかもしれません。
当町においては、インターネット分離開始前から数ヶ月をかけ、庁内に情報の分別を呼びかけ、分離後は
- マイナンバー利用事務系へのデータ持ち込み・持ち出しは情報担当のみ可能。
- インターネット接続系からLGWAN接続系にデータの持ち込みはサニタイズ後(サニタイズができないものは情報担当に連絡)自由にできる。
- LGWAN接続系からインターネット接続系への持ち出しは、所属長による承認フローを構築、さらにLGWAN接続系はネットワーク全体が自動暗号化され、善意の漏洩を防ぐ対策を実施(当然LGWAN側からインターネットにはメールも送れない)
としています。
もし、暗号化を解除した上で持ち出していれば、それは悪意ですもんね。
こうすることで、部署によって「どこのネットワークを主に利用した業務になるのか」が自ずと明らかになり、「無駄に全部を守る」から「絶対に守るべきはココ」というポイントが分かり始めてきました。
と、「インターネット分離」について好意的なことを述べましたが、僕は現在でも「インターネット」の「分離」はやめるべきと考えています。
それは純粋に「ネットが繋がらなくてなんか不便」という考え方ではなく、セキュリティ対策コストの概念やその対策レベルへの「不安感」から「攻撃事例をたくさん抱え、防御対策をしっかりとしているクラウドサービス」を活用したいからです。
しかし、「不便だから」、「今の時代にあっていないから」という漠然とした考え方であれば分離していた方がまだ安全な気がするのも事実です。
そろそろリスクの整理をしてみよう
少々「自分の実績ベース」での話が多くなってきたので、ここで少し、インターネット分離後のネットワークをベースに、「一般的なリスク」の整理をざっくりとしてみたいと思います。
マイナンバー利用事務系=基幹系
インターネットに接続されていないので
- 内部からの故意による漏洩
- 自然災害や火災・機器故障などによるデータの喪失
LGWAN接続系=一般事務系のうち重要情報等を取り扱う事務系
外部ネットワークは基本LGWAN
- 内部からの故意による漏洩
- 自然災害や火災・機器故障などによるデータの喪失
- 外部からのアタック(他のLGWAN接続団体から)
(インターネット分離時に全ての団体がLGWAN側をクレンジングしているとは限らない)
インターネット接続系=上記を除く事務系
インターネット万歳
- 内部からの故意による漏洩
- 自然災害や火災など・機器故障によるデータの喪失
- 外部からのアタック(インターネット上から)
こんなところでしょうか。
あれ、こうみてみるとリスクってどれもこれも一緒ですね。
深く見るとこんな単純なものではないですが、大きなくくりで考えてみると、機器を利用しデータを取り扱う以上、そのデータが重要情報なのか否かに関わらず、情報漏洩や喪失のリスクはほぼすべて同等だと考えます。漏洩だけが、外部との接続があるか否かによって若干異なる程度です。
リスクは回避できるものなの?
では次に、これらのリスクを回避するためにどうすれば良いのかを考えてみたいと思います。
- 内部からの故意による漏洩
先述の通り犯罪行為です。どこにデータがあろうが、防ぎ切ることはできません。職員の教育などリテラシー向上に頼るしか手はありません。情報担当者が漏洩しないとも限らないからです。 - 自然災害や火災など・機器故障によるデータの喪失
自庁舎内だけでは防ぎきれません。お金をかけて様々な場所にバックアップを取らなければデータを完全に守ることはできません。そのバックアップデータは防水防塵防火の完全密閉の場所に保存しなければなりません。 - 外部からのアタック
現在は自治体セキュリティクラウドが入っていますが、それでもみなさんの組織ではどんなレベルのファイアウォール入れていますか。逆に内部から外部へ出ていくルートの検閲はどのレベルですか。
こう考えていくときりが無いですね。
あくまでも持論ですが、すでに、ネットワーク(ここではインターネットを含む仮想空間)は現実社会とシームレスに結合されており、リスクは、「この団体は小さいからこの程度の攻撃にしてやろう」なんて考えてくれるはずもなく、「平等」に全ての団体に降りかかると考えています。
このため、小さな規模の団体ではこの程度の対策を、大きな規模の団体ではこのくらいといった、従来通りの整備方法では、現在においてはリスク回避することはできません。
せば、どうすんのさ、リスク回避
たくさんのお金があり、災害等が起きたとしても100%安全な場所があり、たくさんの人的リソースがあり、そのみんなのICTリテラシーが高ければ、オンプレミスによる整備を実施ししてもなんとかなると考えています。
しかし、人口も減少し、人的リソースが減り、施設は老朽化するも修繕する予算も少ないような自治体はどうしたらよいのでしょうか。
危険だということで、生活の本質部分、インフラや社会保障の予算もすべてICTに投資すべきでしょうか。
そこで現在考えられる一つの手段としてセキュリティ対策部分も含めた上での「クラウド利用」が急務となってきます。
いわゆる「セキュリティクラウド」も同じ思想のもとで成り立っているのではないでしょうか。
※ただしセキュリティクラウドは自治体クラウド的な考え方も強いのでアレですが。
「えもいわれぬ不安」だけで、「君子危うきに近寄らず型整備」をしてしまえば、中途半端な整備、「土砂降りの日に大穴の空いた傘をさして雨をしのぐようなもの」です。
で、でも、や、やっぱり、こういうの理解してたとしても、クラウドは怖いよね。「えもいわれぬ不安」からは抜け出せない。
※なんだか、ネットワークとかセキュリティとかのざっくりした説明しようとしたら取り留めの無い内容になっちゃったな。反省。
※現在はnoteで記事を書いています。合わせてどうぞ