自治体はサイバー攻撃からマイナンバーを守れるのか

　2015年も残り半月余り。6月に明らかになった日本年金機構でのサイバー攻撃による個人情報の大量漏えいは、ほぼ間違いなく2015年最大の情報セキュリティ侵害事件として記憶されることになるだろう。機構職員に届いた標的型攻撃メールをきっかけに、101万人分もの年金情報が外部に流出。国内での公的機関からの個人情報漏えい事件としては過去最大規模となり、標的型攻撃などの高度なサイバー攻撃の脅威に国民全員がさらされている現実を突きつけた（関連記事）。

　この年金機構での情報漏えい事件を受け、総務省は即座に動いた。自治体での情報セキュリティを抜本的に強化するために、7月上旬に有識者と自治体からなる「自治体情報セキュリティ対策検討チーム」を立ち上げ、検討に着手。検討開始からわずか1カ月余りの8月中旬には中間報告を出して、自治体に対し主に体制面の対応策を通知した。11月下旬に最終の報告を取りまとめ、同報告を基に高市総務大臣が地方3団体の代表に対し庁内ネットワークの再構成などの対策を要請したところだ。

　総務省が対応を急ぐのは、マイナンバー制度の運用開始が2016年1月に迫る中で、マイナンバーの取り扱いで中心的な役割を担う自治体からの情報漏えいを何としても防がなければならないため。年金機構での情報漏えいが発覚した直後に、「医療費通知」を装った年金機構とまさに同じ標的型攻撃メールによって、長野県上田市の庁内システムがウイルスに感染（関連記事）。大規模な情報漏えいこそ確認されていないものの、サイバー攻撃で自治体からマイナンバーが流出するという最悪の事態が、単なる想定を超えてすでに現実のリスクであることが明らかになったという事情がある。

対策は庁内ネットワークの再構成とネット接続口の集約

　検討チーム中間報告に基づく8月の総務省通知を受け、各自治体は既存の住民基本台帳システムをインターネットから分離したほか、CSIRT（Computer Security Incident Response Team、シーサート）の設置や緊急時の国への連絡ルートの多重化など、体制面の強化を進めている。総務省も各自治体での取り組みを支援するため、セキュリティ専門の民間の登録人材がメールで問い合わせに対応する「自治体情報セキュリティ支援プラットフォーム」を9月末に立ち上げた。

　だが、手間がかかるのがシステム面の対応だ。11月の最終報告に盛り込まれた対策の柱となるのが、（1）「自治体情報システム強靭性向上モデル」に基づく庁内ネットワークの再構成と、（2）市町村ごとにあるインターネット接続口を都道府県単位に集約して監視機能を強化する「自治体情報セキュリティクラウド」の構築である。総務省は、マイナンバー制度での国・自治体間の情報連携が始まる2017年7月までの対応を求めている。