特集 始めてみようテレワーク “外注任せ”のままではセキュリティは崩壊する
地方自治
2021.03.02
目次
この資料は、地方公共団体情報システム機構発行「月刊J-LIS」令和2年11月号に掲載された記事を使用しております。
なお、使用に当たっては、地方公共団体情報システム機構の承諾のもと使用しております。
特集 始めてみようテレワーク
“外注任せ”のままではセキュリティは崩壊する
独立行政法人情報処理推進機構(IPA)
サイバー技術研究室長
登 大遊
Interview
“外注任せ”のままではセキュリティは崩壊する
──自立的・自律的なシステム構築・運用で本当の安全を取り戻せ
新型コロナウイルスの影響により自治体の間でも急速に広がっているテレワーク。しかし、多くの民間企業よりも高い安全性が求められる自治体だけに、セキュリティをどう確保するかが大きな課題となっています。そこで、独立行政法人情報処理推進機構(IPA)と東日本電信電話株式会社(NTT東日本)が緊急構築した「シン・テレワークシステム」のプロジェクトを率い、IPAとJ-LISが共同で実証実験を行う「自治体テレワークシステム」の開発も担う、IPAサイバー技術研究室の登大遊室長にセキュリティ対策のポイント等についてお話を伺いました。
最大のセキュリティホールは「ブラックボックス」
──コロナ禍を受けて急速にテレワークのニーズが高まるなか、自治体をめぐるセキュリティ動向について、昨今のトレンドや課題などを教えてください。
登室長 少し前まで多くの自治体のIT担当者などから聞いていたのが、総務省のガイドライン(※1)がかなり以前のセキュリティ事情をベースにしているため、シン・テレワークシステム(※2)を使っていいのかどうかもわからないといった声でした。この自治体の方々の悩みをもとに経済産業省に相談してみたことがきっかけで、総務省のポリシーに関する7月の会合で、シン・テレワークシステム型の仕組みやセキュリティの説明をする機会をいただきました。8月末には自治体向けの新しいガイドライン(※3)が出され、画面転送型システムでテレワークを行う際の具体的要件が整理されました。それが大きな変化の1つだと言えるでしょう。元のルールにはあまり手を加えずにガイドラインで変更した形ですが、皆が安心してシン・テレワークシステムのようなシステムを使えるようになったのではないでしょうか。
ただし、厳密に言えば、国にはこうしなければいけないという権限はなくて、地方自治なのですから、本来であれば各市町村がテレワークにおけるセキュリティポリシーなどを決めてそれに合致したシステムを構築できるはずなんですよね。だけど、何か起きた際に責任が生じてしまうので、どこもやらなかったのでしょう。実際、インターネットへの接続というのはどこかで必ず必要になるため、セキュリティに配慮した設定をするためには時間やコストがかかってしまいますし、もしそこを誤ればセキュリティホールが生じてしまうので責任問題になってきますから。
(※1)「地方公共団体における情報セキュリティポリシーに関するガイドライン」https://www.soumu.go.jp/main_content/000592786.pdf
(※2)本誌2020年6月号 p.20でシン・テレワークシステムの概要等を紹介しています。
(※3)令和2年8月18日総行情第111号「新型コロナウィルスへの対応等を踏まえたLGWAN接続系のテレワークセキュリティ要件について」
──ちなみにシン・テレワークシステムは、4月の提供開始時点から機能等で更新はされているのでしょうか。
登室長 企業や自治体から様々な要望があったため、特にニーズの強いものなどを取り入れて複数のセキュリティ機能を追加しています。
まず1つ目は検疫機能で、アンチウイルスのパターンファイルやWindows OSのパッチファイルが最新のものにアップデートしていない端末からのアクセスは拒否するようにしました。言うまでもなく、これらが最新のものでない場合には脆弱性のリスクがありますから。
次に端末認証機能としてMACアドレス認証を取り入れるとともに、従来のIDとパスワードにワンタイム認証を加えることで多要素認証としています。また、マイナンバーカードを用いた認証にも対応しています。さらに、テレワーク通信以外をすべて遮断するFW機能を端末において閉域が強制される仕組みにしています。テレワーク中の端末からインターネットに接続できないようにしているのです。
──市販のセキュリティソリューションを活用したテレワークの安全性はいかがですか。
登室長 市販のソリューションも複数ありますが、注意すべきなのは、それらの多くは海外製のパッケージ製品をベースに、日本向けにUIなどを翻訳して販売しているものが大半であるという点です。このため、導入する自治体側はもちろんのこと、販売するITベンダー側もその中身までは把握しておらず、いわゆる「ブラックボックス」の状態であるわけです。実はこのブラックボックスというのが、セキュリティの世界では最も危険なんです。ソフトウェアというのは、本来であれば、自分たちで開発している、もしくはソースコードが公開されているものしか信用すべきではないと言えます。
なぜオープンでなければいけないのかというと、システムの安全性の検証が限られた人間にしかできないからなんですね。これは、攻撃者から見れば、サイバー攻撃の1つであるゼロデイ攻撃が可能であることを意味しますから。対してソースコードが公開されていれば誰でも検証できるようになります。数人しか検証できないよりも、1,000人が参加して検証したほうがセキュリティレベルは確実に向上します。Linuxはより安全性が高く、Windowsには脆弱性が残されているのも、Linuxは世界中で多くの人々が検証を行っているからだと言えるでしょう。何事も秘密にすると、秘密のままである間は安全性が保たれますが、少しでも秘密が漏れた途端に脆弱性が生じてしまうのです。
これは、多少効率は悪くとも、少しでもおかしいと感じたら皆で言い合いながらルールを検証するという民主主義の考え方と同じです。密室で決まったルールにろくなことはないというのは、ガバナンスの根本ではないでしょうか。
我々のシン・テレワークシステムも今年中にはすべてのソースコードを公開してオープンソースソフトウェア(OSS)として無償提供することを検討中です。シン・テレワークシステムのコアはSoftEther VPN(※4)で、世界中で500万ユーザー以上を有しています。これはApache License 2.0(※5)でソースコードを公開しており、GitHub上で7,000人がウォッチし、日々ソースコードの検証を行っています。
(※4)IPAの2013年度未踏ソフトウェア創造事業未踏ユース部門の支援によって登室長の修士論文の研究として筑波大学で開発されたOSSのL2-VPNソフトウェア(遠隔地にある複数のLANをつないで構築された1つの仮想ネットワークを実現するソフトウェア)のこと
(※5)フリーソフトウェアライセンス規定の1つ
外注依存からの脱却で自分たちのITに“健康”を取り戻そう
──業務におけるエンドポイントやネットワーク等のセキュリティ対策の重要性は、コロナ以前と後でどのように変化しつつあると見ていますか。
登室長 一番重要であるのは、やはり自分たちが利用している情報システムやネットワークがブラックボックスにならないよう、職員のスキルを高めることです。
例えば自動車であれば、業務で運転をする機会のある職員が事故を起こさないよう、運転スキルを高める必要があるのは当たり前ですよね。しかしセキュリティに関しては誰かに頼っているというのは、常に有料で誰かに車を運転してもらっているようなものです。それでもしも事故が起きたら、もしくは起きそうになった時に、運転手はどこまで責任を取ってくれるのかを考えれば、日頃から自分たちで防御するというのは当たり前であることがわかるはずです。つまり、各組織の中核となるエンジニアが、外部のベンダー等を頼らずに自分たちでシステムを構築すれば、セキュリティ上の様々な問題は回避できるのではないでしょうか。
最近のセキュリティ業界では「ゼロトラスト」が流行りですが、これこそが本当の意味でのゼロトラストであるとも言えます。つまり、自立的かつ自律的なシステム以外は信用しないということです。そしてこれは、かつて自治体をはじめどこの組織でも当たり前に行われていたことでもあるはずなんです。複数の自治体の情報システム課長クラスの方々と話していると、「最近は外注ばかりになったので、自分たちが内製でシステムを構築・運用していた最後の世代だ」とよく言われます。確かに現在はアウトソーシング全盛ですが、この波は今がピークで、これから20年かけて自分たちで作る楽しみが復活すると私は確信しています。端的に言えば、自分たちで使うITインフラは、しっかり自分たちでプログラミング言語を用いてソースコードから開発するべきだということです。
自治体とは本来そういう組織であるはずです。分散して自立・自律することで安全も保たれるという。我々人間をはじめとした生物の免疫力にしても、多様性があることで保たれているのと同じです。同じ免疫しか持たない人ばかりだと、一気に全員へと感染が広がってしまいますよね。ITも、1つのプラットフォームに集約してしまうと、脆弱性によってすべてが駄目になるリスクが常につきまとうことになるのです。そうならないよう、現在の不健康だった情報システムを健康な自立的・自律的なシステムへと戻していくこと、そのための人材育成に注力することこそが求められているのです。
インシデントを経験することがセキュリティ向上への一歩
──テレワークにおけるセキュリティに関して、特に気を付けなければいけない点や自治体ならではの特徴はどこにあると考えますか。
登室長 最初に念を押しておきたいのが、“テレワークのセキュリティ”だけを考えないようにしてくださいということです。逆説的に聞こえるかもしれませんが、セキュリティレベルを上げるためには、何らかのセキュリティインシデントを経験しておく必要があるんです。他の誰かに守られた、何も起きない環境では、いずれ自分たちの免疫はなくなってしまい、大きな問題が突然発生して気がついたら全滅……という結果にもなりかねません。
そこで、インシデントが時折生じるような環境を作っておくのです。しかもそれは、サンドボックスなどのダミーの環境などではなく、ちょっとした設定ミスをしてしまうと本番環境にまで侵入されてしまうという、非常に怖い環境でなければ意味がありません。ただし、当然ながらクリティカルなシステムをそうしてしまうことなどもってのほかで、被害の範囲が、担当者が恥をかくレベルで済むようなシステムを選ぶ必要があります。
このようなインシデントが起きるようなシステムを運用していると、攻撃者からデータが改竄されたり、ウイルスを感染させられたりすることがあるはずです。そしてそれが大切な勉強にもなるわけです。敵は常に側にいて自分たちを狙っているという感覚を身につけるといった感じでしょうか。そうした意識というのは外注していたのでは芽生えてくることはないでしょうね。
常日頃から自分たちでシステムを作り運用して、サイバー攻撃の怖さを身を以て知ることこそ、セキュリティの第一歩なのです。テレワークにしても、まずは安全にできるシステムを自分たちで作ってみるのもいいのではないでしょうか。しかしながら日本にはインシデント発生自体を許さないという風潮が強いですから、それもセキュリティレベルが低下する原因と言えるのではないでしょうか。
自治体のシステムならではの魅力がアピールできるように
──これからのウィズコロナ・アフターコロナの時代において、自治体のIT部門にはどのように変化が求められると考えますか。
登室長 ここまでテレワークが広がっているのは間違いなく新型コロナウイルス感染症の影響ですよね。コロナ禍はもう起きてしまっていて、それは受け入れるしかありません。であれば、それを少しでも利益につなげるにはどうすればいいのか考えるべきではないでしょうか。テレワークと同じように、これまでなかなか思い切ってできなかった試みを、この機会を利用していろいろとやってみるわけです。シン・テレワークシステムにしても、IPAとNTT東日本という日本の中でもかなり保守的な組織の共同開発でありながら、たった2週間で開発できたのもコロナのおかげかもしれません。
──テレワークやそのセキュリティを担当する全国の自治体職員に向けてメッセージをお願いします。
登室長 それぞれの地域で学校を出た優秀なICT人材の方々が、「ぜひ自治体に就職したい」と言ってこぞって集まってくるよう、魅力的な組織になることが重要と思います。できるかもしれない、高度で面白いところはまず自分たちで作ってみるという、パソコンやインターネット発明以降におけるごく当たり前の精神を、今一度思い出す必要があります。面倒な部分、気が進まない繰り返し作業などをITベンダーにお願いすれば良いのです。あくまでも主役はシステムの保有者である自治体やユーザー企業であってITベンダーではありません。そこを“ここからは自分たちにお任せを”といった甘い言葉で信用してはいけません。これからは自分たちで考えて自分たちで実践することが最も重要であり、そうすればセキュリティレベルも向上するし、ICT活用の効率も高まるはずです。市販の製品を選定する際にも、より良いものを選ばねばいけないという意識が根付くでしょう。
自分たちで苦労して、市販のものと同じようなシステムを作れば、どこかおかしいところがあっても何がおかしいかわかりますし、他のシステムへの切替時にも自分たちで判断できるようになります。深夜にシステムに異常が生じたとしても、朝までに自分たちの手で復旧することもできるでしょう。この楽しみを思い出すべきです。外注では、原因もわかりませんし、最大の楽しみを失うことになります。
そして自治体がそう変わることは、結果として住民の生活が良くなることにもなり、それは自治体職員としての本質的な目的であるはずですから、自分たちの仕事のモチベーションにもつながることでしょう。やらないのはもったいないですよね。
──自分たちでシステムを構築・運用することは、自治体職員のやりがいにもつながるということですね。
登室長 そうです。自治体ならではの秘密のおもしろシステムが多数あると思います。水道のシステムや、公共料金や住民税の徴収システム、住民基本台帳ネットワークシステム、そしてLGWANなど、民間企業ではあまり見ることのできないシステムやネットワークを、自治体職員になれば日常的に触れることができ、それらのシステムが住民の生活を支えている、そうした自治体のICTの特徴を知ってもらえば、そこに魅力を感じてくれるICT人材はきっと多いはずです。
ただしそれも、仕様書を書いて予算要求してあとは外注にお任せする、といった現状のIT部門の仕事のやり方では叶いませんから、その意味でも高度で面白い部分は自分たちで作って楽しみ、どうしてもできない部分を外注するように、IT部門の文化を変革していく必要があるのではないでしょうか。
Profile
独立行政法人情報処理推進機構(IPA)
サイバー技術研究室長
登 大遊 のぼり・だいゆう
●昭和59年兵庫県生まれ。平成29年に筑波大学大学院システム情報工学研究科博士後期課程修了。博士(工学)。独立行政法人情報処理推進機構(IPA)平成15年度未踏ソフトウェア創造事業でSoft Ether VPNを開発し、未踏スーパークリエータ認定を受ける。大学院修了後から、IPAでサイバーセキュリティに関する業務に従事するほか、茨城県警察サイバーセキュリティ対策テクニカルアドバイザーとしても活動。令和2年よりNTT東日本の特殊局員も務める。
