デジタル庁【自治体ネットワークの三層の対策はやめる】宣言!

スポンサーリンク
080-お仕事

へっぽこヘタレシステム管理者の管理人です。

さて、自治体システムのネットワークは・・・

三層分離モデルというものが利用されており・・・

  • αモデル
  • βモデル
  • βダッシュモデル

の3つがあります。

これらは、いわゆる【境界型セキュリティ】というモデルで、

それぞれのネットワークを分離して・・・

基本的には端末もそれぞれのネットワークで個別に設置します。

【αモデル・βモデル・βダッシュモデル】の違いは・・・

もっとも利用者が多い一般業務系(LGWAN系)の端末をどのNWに置くかという違いだけです。

αモデルとは・・・

個人番号系事務は完全分離

業務系端末はLGWAN系に設置し、インターネット系は無害化通信(画面転送)で利用します。

βモデルは・・・

一般業務系端末をインターネット接続系に設置し、LGWAN系ネットワーク上の人事給与・庶務・文書管理等を、画面転送で利用します。

βダッシュモデルは・・・

業務系端末だけではなく、文書管理等のシステムもインターネット系に設置し、

国や他の自治体と接続されているLGWAN系ネットワークを画面転送で利用します。

αモデル

まぁ、とにかくややこしいんですよ。

このため個人情報を扱う部署では、パソコンはデスクの上に2台置くことになります。

そもそも何故この3層分離が出てきたかと言うと・・・

2015年の日本年金機構による情報漏洩事故以降に、

総務省が定めたセキュリティー対策がこの方法だったわけです。

当時は、ゼロトラストという考え方が無かったので、境界分離型セキュリティ対策としてはある意味、正しかったのでしょうが・・・

とにかく、この三層分離となると、クラウドサービスが当たり前のこのご時世では・・・

インターネット系のサービスが非常に利用し辛いわけです。

ネトワークが分離されていると、ネットワークごとに使う端末を切り替える必要があり、

非常に手間がかかわけです。

また、ネットワークを跨ぐ端末間でデータをやりとりさせるためには、

USBメモリー等の外部メディアを使うことが必要となるので、

逆にセキュリティーリスクが高まるわけで、本末転倒です。

以上の理由からデジタル庁は【1人1台のパソコンで効率的に業務ができるようにしていきたい】

と大臣が意気込んで報道発表したそうです。

最近では、クラウド上にイロイロなデータをアップしている訳で・・・

個人情報等もインターネット上でやり取りされています。

例えばですが・・・

  • クレカ情報
  • ネットバンキング
  • インターネットショッピング
  • 各種サービスのアカウント
  • 行政の電子申請サービス
  • マイナポータル
  • eLTAX

等々・・・

個人情報がインターネットでこれだけやり取りされている中で・・・

自治体の個人情報系ネットワークだけ分離している意味があるのか???

と言われると・・・

疑問には感じます。

また、今後は自治体システムの標準化・共通化で・・・

これまで各自治体が保有していた個人情報系のデータのほぼすべてが、

ガバメントクラウドに移行されるわけですから、

なおさらです。

ただ、個人情報漏洩等のセキュリティインシデントが発生した場合には・・・

管理人的にはどこから漏れたか???

というのが結構なポイントとなります。

少なくとも、現在の三層分離モデルでは、

ネットワーク上の外部からの不正アクセスで個人情報が抜かれることはありません。

直近では、神奈川県の情報漏洩事故がありましたが・・・

スポンサーリンク

これは、リースアップしたサーバのHDDが転売されたというもので、

不正アクセスではありませんし、

廃棄を請け負った業者に責任があります。

なお、システム管理なんてやっていますと・・・

システム利用者のITリテラシーなんて全く信用できないので、

できるだけリスクは回避したいと考えます。

となると・・・

ブログランキングにご協力ください!
ブログランキング・にほんブログ村へ

なるべく、情報漏洩のリスクが高いインターネット系ネットワークには、

なるべく情報を置きたくない訳です。

そういう意味では、三層モデル(特にαモデル)は、そもそもネットワークが分離されているので、

安心感があったのですが・・・

ゼロトラストになるとどうなるのでしょうか?

しっかりと運用できないと・・・

逆にリスクが上がる気がしますし、

そもそも自治体でしっかりと運用できる人的資源がありません。

となると・・・

構築・運用・監視・インシデント管理・問題管理等の全てが、

外部委託になるわけで、非常に金が掛かりそうです。

国のガイドラインに従い、

三層分離を導入し、インターネットについては、

都道府県経由のセキュリティクラウド経由にしたときも・・・

かなりのコストが掛かっています。

セキュリティについては、金をかけ出せば際限がないので・・・

リスク評価額 = 損失額 × 発生確率

を考慮して、折り合いをつけるしかないと個人的には思うのですが・・・

行政がなんかやらかすと・・・

民間よりも風当たりが辛いのはどうも納得がいきません。

例えば・・・

民間事業者では、LINEやNTTの子会社が、小規模な自治体よの人口よりもはるかに多い個人情報を漏洩させて・・・

国の個人情報保護委員会から是正勧告を受けていますが・・・

それほど、世間の非難も出ていない様に感じます。

ブログ開設に必要なドメイン取得、サーバーレンタル、ASPの登録等は、こちらのサイトから!

スポンサーリンク

コメント

タイトルとURLをコピーしました