menu
マガジン [ Magazine ]

兵庫県がサイバー攻撃を解析・防御するセキュリティ対策モデルを構築

[2016.10.18]

サイバー攻撃を解析・防御する「公社等情報セキュリティ基盤」を構築
〜兵庫県が外郭団体の高度なセキュリティ対策モデルを実現〜

 


情報流出やウイルス感染などの被害が深刻化している。兵庫県では県の外郭団体(密接関連公社)の情報セキュリティ対策を強化するため、密接関連公社にフォーティネットのUTM/次世代ファイアウォール「FortiGate」を導入。県庁内データセンターにサンドボックス「FortiSandbox」を設置し、未知のマルウェアなど不審なファイルを一元的に解析・防御する「公社等情報セキュリティ基盤」を構築した。その狙いと現状、課題を兵庫県 企画県民部 情報企画課 システム管理室に聞いた。

 


密接関連公社のセキュリティ体制に
多くの脆弱性があることが判明


兵庫県では、従来から県の情報セキュリティ対策指針に基づき、個人情報や機密情報の適切な管理に努めてきたが、県の外郭団体のセキュリティ対策が課題になっていた。兵庫県 企画県民部 情報企画課が7月に発表した「ひょうごICT戦略」では「いつでも手軽に、データの資源化、つながる、セキュリティ」をキーワードに六つの戦略を設定している。その中の「戦略6:社会とICTの調和」では、外郭団体に対する情報セキュリティ対策の実施(外郭団体事業)がうたわれている。


外郭団体は県がどこまで出資しているかの規模にもよるが、どこの自治体でも100以上はあるという。今回、兵庫県が密接関連公社としてリストアップしたのは32団体。兵庫県 企画県民部 情報企画課 システム管理室 室長の津川誠司氏は今回の取り組みの背景を次のように説明する。


 「県庁内の基幹業務に関するセキュリティ対策は当然のことですが、日本年金機構の事案のように外郭団体のセキュリティ対策が手薄になり、ターゲットになることもあります。県には多くの外郭団体がありますが、県の出資比率が高い32の密接関連公社を対象にセキュリティを強化する必要があり、アンケートとヒアリングによる事前調査を行いました。密接関連公社は従来から独自にファイアウォールなどのセキュリティ対策を行っていたと言いますが、アンチウイルスソフトはどこまで導入されているかなど必要最低限の状況を細かく調査してみたのです。結果は、かなり脆弱な状態でした」(津川氏)


回答した30団体のうち、
① システム管理者を設置していない…15(50%)
② セキュリティポリシーを策定していない…24(80%)
③ インターネットの閲覧制限がない…26(87%)
④ 職員のインターネット閲覧ログがない・・・・26(87%)
⑤ 標的型攻撃対策システムを導入していない…30(100%)


というかなりひどい状態が明らかになったという。インターネットの閲覧制限がない公社の場合は、職員が悪意のあるWebサイトを閲覧してマルウェアに感染し、機密情報が流出するリスクがある。しかも、インターネット閲覧ログを取得していなければ職務の管理ができない。問題が発生した時にログで状況を確認できなければ原因の究明が困難になるし、外部に対して説明責任も負えなくなる。

 


脅威と製品の要件から絞り込み
フォーティネットの製品を採用


そこで密接関連公社向けに、不審メールなどを可視化し保護された領域内で不正に操作されるのを防ぐ「サンドボックス」と複数のセキュリティ機能を一つのハードウェアに統合して脅威管理を行う「UTM」(Unified Threat Management)の要件を定義し、費用対効果を勘案しながら公社等情報セキュリティ基盤の構築に向けてベンダーの製品を検討することになった。


 「リスクの考え方には『情報資産×脅威×脆弱性=リスク値』がありますが、サイバー攻撃や風評被害、職員の怠慢による情報漏洩など、世間を賑わせる危険な状況が起こりうる確率をもとに脅威の要件を定義しました」(津川氏)


兵庫県の公社等情報セキュリティ基盤は、密接関連公社と県庁WANを兵庫情報ハイウェイや通信事業者の閉域網サービスで結び、密接関連公社が導入するUTMが検知した不審なファイルを県庁データセンターのサンドボックスで一元的に分析し、自動的に必要な対策を打つというもの。そのため、サンドボックスは外部でデータを解析するクラウド型サービスではなく、アプライアンス型で複数デバイスと連携可能なオンプレミスの運用が可能な製品。UTMはファイアウォールやアンチウイルス、侵入検知/防御などのセキュリティ機能のほか、事前調査で課題となっていたWebサイトの閲覧制限が行えるWebフィルタリングと閲覧ログが取得できるWebプロキシ機能がある製品というのが要件となった。


これらの要件に費用対効果、各製品ベンダーとの情報交換などで数社の製品を比較・検討した結果、フォーティネットのサンドボックス「FortiSandbox 1000D」およびUTM/次世代ファイアウォール「FortiGate 100D/200D」を採用。2015年12月から公社等情報セキュリティ基盤の運用を開始した。

 


あまりにも激しいサイバー攻撃
脅威の有無を可視化し対策を講じる


津川氏はFortiSandboxの導入のメリットを「脅威の有無を可視化でき、必要な対策を講じられることです」と強調する。


民間や自治体に限らず、不審メールが送られてきていることは漠然とわかっても、実際の量はサンドボックスでないと可視化できない。さらに、職員が仕事中にどれくらいネットにアクセスしているかといった情報も可視化できるのだという。実際、不審メールを含めた自治体へのサイバー攻撃の実態はどのようなものなのだろうか。


 「あまりにも多く、あまりにも激しい状態です。この6月には『郵政からのお知らせ』と称する不審メールが大量に送られてきました。日によって波がありますが、不審メールの量が多くてサンドボックスが脅威を判断するのに3日くらいかかる場合もありました」(津川氏)


当初はシステム管理体制や費用対効果を考慮し、40人以上が所属する公社には公社等情報セキュリティ基盤(FortiGate 100D)を導入し、40人未満の団体にはプロバイダーが提供する標的型攻撃対策サービスを活用する体制をとった。その後、FortiGate 100Dよりも安価でログを蓄えることができるFortiGate 90Dが登場。プロバイダーのサービスよりも安いということになり、順次切り替えを進めている。このように、費用対効果は常時判断しているという。


 「標的型攻撃やマルウェアの脅威が増える中、サンドボックスで公社側の脅威も可視化し、警告できるのも効果的です。運用を公社に任せるだけでなく脅威に対する自覚を促し、県側からも注意を喚起できる、両方の側面で大いにメリットがありますね」(津川氏)


これから全国の自治体で外郭団体のセキュリティ対策の強化が進むだろう。兵庫県の試みはそのプロトタイプとしての側面も持ち合わせている。自治体の外郭団体のセキュリティ対策の強化は、兵庫県の取り組みが参考になるのではないだろうか。

 

 

█︎ ひょうごICT 戦略の推進

 

 戦略 1
安全安心の推進
兵庫県が、安全安心社会のモデル地域となるよう、最高水準の安全で安心な社会を構築することにICT で貢献する。

 

 戦略 2
暮らしの質の向上
ICTを“適材適所”で柔軟に活用し、地域の個性を生かした持続可能な暮らしやすいまちづくりへの挑戦に貢献する。

 

 戦略 3
地域力の強化
ICTで、地域の生活基盤づくり、課題解決を支援するとともに、地域に活力を呼び起こす人を誘引、育成し、「地域創生」の加速、地域力の強化に貢献する。

 

 戦略 4
産業の振興
最先端の計算科学技術基盤とICT の相乗効果により、計算科学の一大拠点の形成、ICT 人材の輩出や地域経済の活性化を牽引する次世代産業の育成に貢献する。

 

 戦略 5
行政のオープン化・効率化
女性が活躍しやすい働き方の普及をリードするとともに、マイナンバーなどのICT 基盤構築により、先進的な社会の仕組みづくりに貢献する。

 

 戦略 6
社会とICT の調和
全国的にも注目される官民合同のICT リスク対応向上策を先導的に展開し、全ての県民がICT の影の部分を克服し、ICT の恩恵を享受できることに貢献する。
・全国に先駆けた高度な行政の情報セキュリティ対策基盤の整備
・外郭団体に対する情報セキュリティ対策の実施( 外郭団体事業)

 


兵庫県が平成 27 年3月に策定した「ひょうごICT 戦略」(推進期間:平成27 年-平成29 年)では、いつでも手軽に、データの資源化、つながる、セキュリティをキーワードに、六つの戦略を設定し推進を図っている。

キーワードから記事を探す