ホーム > PC-Webzineアーカイブ > 全国に先駆けたサイバー攻撃対策を進める徳島県の実証実験

全国に先駆けたサイバー攻撃対策を進める徳島県の実証実験

全国に先駆けたサイバー攻撃対策を進める徳島県の実証実験

2019年02月28日更新

自治体へのサイバー攻撃をいかに防ぐか
~徳島がサイバー攻撃対策強化実証実験を実施~

徳島県は、サイバーセキュリティ領域の研究開発活動を展開しているFFRIと共同で、自治体のエンドポイントにおけるサイバーセキュリティレベルの強化を目的とした「徳島発!『サイバー攻撃対策強化』実証実験」を進めている(2019年3月末までを予定)。共同実験により、次世代エンドポイントセキュリティ対策においてどのような課題や問題点が見えてきたのか。徳島県庁の電子行政推進課に聞いた。
Text by 古俣慎吾 Shingo Komata

三層の構えに準じてセキュリティを強化

 徳島県の「サイバー攻撃対策強化」実証実験は、FFRIの次世代エンドポイントセキュリティ製品「FFRI yarai」を全庁に導入し、2018年1月26日に準備・テスト運用を行うことから始まった。2018年4月1日には実証実験がスタートし、2019年3月31日まで行われる予定だ(延長もあり)。
 徳島県が全国に先駆けてこの実証実験に取り組んだ背景には「国の三層の構えがある」と徳島県 経営戦略部 電子行政推進課 情報セキュリティ担当室長の山住健治氏は言う。

「2015年の日本年金機構における個人情報流出事案を受けて、総務省から自治体の情報セキュリティに関連する三本の抜本的な対策方針が打ち出されました。いわゆる『国が提示した三層の構え』です。まず一つ目はマイナンバーを利用する事務で情報の持ち出し不可設定を行い、情報の流出を徹底して防ぐこと。二つ目は、財務会計などLGWAN(総合行政ネットワーク)を活用する業務用システム環境とWeb閲覧などのインターネットを完全に分離すること。三つ目は、都道府県と市区町村が協力して高度なセキュリティ対策のための自治体情報セキュリティクラウドを構築すること。この三つの対策方針に基づき、徳島県ではネットワークをインターネット系、LGWAN系、基幹系に分離し、セキュリティクラウドの構築にも取り組んできました」

 こうした対策を講じたことで、ネットワーク環境においては一定のセキュリティが確保された。しかし、端末(エンドポイント)のセキュリティレベルについては課題があり、三層の構えをとっても懸念は残されていた。

ガイドラインに先駆けて実証実験を開始

 山住氏によると、2018年7月、政府のサイバーセキュリティ戦略が改正され、「エンドポイント(端末等)においてマルウェアの挙動を検知することにより、被害の未然防止及び拡大防止に取り組むこと」とされた。改正されたサイバーセキュリティ戦略のガイドラインには、「サーバー装置及び端末に不正プログラム対策ソフトウェア等を導入する」「既知及び未知の不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること」といった一文が付け加えられているという。

「エンドポイントにおける挙動検知での未知の不正プログラム対策が重要なポイントとなっているのです。本県がサイバー攻撃対策強化実証実験を始めたのは2018年の1月です。半年程経過してから国からの指針が示されたことになります。本県では、インターネットに接続する端末には仮想端末を利用しているため、何らかの状況で未知のマルウェアが侵入してきても、仮想端末ごと削除してしまえば防げます。しかし、仮想端末で対応できない業務もあり、それには物理端末が利用されています。物理端末が使われている場合、仮想端末とは違って端末ごと即削除するというのは難しいのです。ほんの少しのタイムラグの間に何かが起こるかもしれないといった心配が残されているのです」(山住氏)

 FFRIが実証実験のパートナーとして選ばれたのは、同社 代表取締役社長の鵜飼裕司氏が徳島県の出身であり、FFRI yaraiがランサムウェア、不正送金マルウェア、国関係機関を狙ったマルウェアなどに対する多くの防御実績を持っていたからだ。

FFRI yaraiを約5,200台に導入

 実証実験の導入対象は、徳島県の県庁総合ネットワークに接続している端末約5,200台だ。FFRIのふるまい検知型のソフトウェアであるFFRI yaraiを当該端末のマイナンバー系(290台)、LGWAN系(4,700台)、インターネット系(210台)、さらに学習系のネットワークに接続している端末(約600台)に導入し、実証実験を行っている。

 検証内容は、FFRI yaraiの最新バージョンで管理環境を構築するとともに、サイバー攻撃に対する防御、使用環境、性能を検証する。実証実験における徳島県の役割や期待する効果は以下の通り。

■実証実験における徳島県の主な役割(調査)
・自治体が構築しているネットワーク分離環境における運用上の問題の有無
・自治体が利用する業務ソフトとの整合性、業務遂行上に生じる問題の有無
・教育現場利用における問題点の有無

■徳島県が期待する導入後の効果
・従来型のウイルス対策ソフトとの同居によるサイバー攻撃対策強化
・現状のセキュリティ対策では検知できないマルウェアを検知
・日常業務の可用性を損なうことなく、未知の脅威に対するセキュリティの向上
・教育現場でのセキュリティ向上・生徒のセキュリティ意識向上
・ほかの自治体や教育現場から理想とされる「セキュリティ全国モデル」の構築

 一方、ベンダーのFFRIの役割としては、FFRI yaraiの最新版を徳島県に提供して、環境構築・運用について技術支援を行い、全国に普及するモデルを創造することだという。期待する効果としては、次の三つを挙げている。

■FFRIが期待する導入後の効果
・徳島県からのフィードバックを受けて製品の品質を向上
・自治体や教育現場から必要とされる機能要件などの情報を製品開発に活用
・徳島県の実施実績の成果をもとに、今後、全県下の市町村や学校、全国の自治体への波及

「FFRIには管理コンソールの設計から構築まで全てお任せしました。本県は管理コンソール用の仮想サーバーの用意と環境設定を行っただけです。検知ファイルに関しては詳細な分析をしていただいています。今後も、FFRIとはWin-Winの関係を築いていきたいと考えています」(山住氏)

徳島県からの「全国モデル」として発信したい

 実証実験は、2018年1月から6月にかけて構成の設計、FFRI yarai内の管理ツール「FFRI AMC」の導入、管理サーバーの構築、端末へのインストールという流れで進んだ。7月から9月末にかけては、怪しいプログラムかどうか調べる「検出モード」でログをチェックし、「ホワイトリスト」を作成。10月から本格稼働したという。

 実証実験は2019年3月まで行われる予定だが、場合によっては延長も想定している。FFRI yaraiの導入効果(トラブルシューティング)について、現段階ではどのようなことが明らかになったのだろう。

「現時点でのFFRI yarai導入の効果としては、既存のセキュリティ対策製品では検知できなかったファイルの検知などが挙げられます。FFRI yaraiをインストールすると、最初にフルファイルスキャンが行われます。このときにネットワーク分離以前から潜んでいたと思われる挙動が怪しいプログラムが検知されたのです。実際には、FFRI yaraiのスキャンによって、物理端末でインターネットを閲覧していた2年以上前のWebブラウザーのキャッシュに残っていたファイルの中に、怪しいプログラムが検知されました」(山住氏)

 今後の展望と期待という面では、新たな基準にのっとり、エンドポイントのセキュリティ強化を図るという。国のサイバーセキュリティ戦略と自治体の情報セキュリティポリシーの改正に合わせて、エンドポイントでの基準が改めて追加されたため、それに基づいてセキュリティを強化していく。

「今回の実証実験を『徳島県からの全国モデル』として展開することで、ほかの自治体のセキュリティレベルの引き上げに貢献したいですね」(山住氏)

キーワードから記事を探す