ページの本文へ

Hitachi

自治体ICT 応援サイト

新型コロナウイルス感染症の拡大により、多くの企業でテレワークの導入や利用が加速しました。
自治体においても、2020年4月に総務省よりテレワーク導入が要請されたり、2021年1月の緊急事態宣言の発出にともない、政府から「自治体テレワークシステム for LGWAN」が提供されたりと、自治体のテレワークを取り巻く環境が変化しています。
自治体のテレワークについて、導入状況やセキュリティに関する考え方とポイントを整理してご紹介します。

自治体のテレワーク導入状況

自治体のテレワーク導入状況は、2020年10月時点で、都道府県において100%となっています。政令市では85%、市区町村では19.9%となっており、いずれも2020年3月に総務省が実施した調査結果よりも増えています。また、市区町村のうち、導入検討中の17.8%を含めると27.7%となっています。

テレワークを導入できていない理由の上位5項目は、以下となっています。

  1. 窓口業務や相談業務などがテレワークになじまない:82.7%
  2. 情報セキュリティの確保に不安:78.6%
  3. 導入コストがかかる:72.0%
  4. 個人情報やマイナンバーを取扱う業務は実施できない:70.3%
  5. 現場業務はテレワークになじまない:67.3%

[イメージ]地方公共団体におけるテレワークの取組状況
出典:地方公共団体におけるテレワークの導入推進(総務省)

なお、2020年12月に公表された「自治体デジタル・トランスフォーメーション(DX)推進計画」の中で、重点取組事項の一つに「テレワークの推進」があり、「デジタル・ガバメント実行計画に基づく自治体の情報システムの標準化・共通化や行政手続のオンライン化の推進過程も捉えつつ、引き続き、デジタル化時代の業務運営に対応する自治体のテレワークを推進していく必要がある」とされています。
このように、今後はテレワークの導入・活用に加えて、テレワーク対象業務の拡大に取り組む流れが示されています。

テレワークを狙った新たな脅威に注意

自治体へのテレワーク導入が推進される一方で、独立行政法人 情報処理推進機構から毎年公開されている「情報セキュリティ10大脅威 2021」では、初めて「テレワーク等のニューノーマルな働き方を狙った攻撃」が、新たな脅威としてランクインしました。2020年に多くの組織がテレワークを導入し、Web会議サービスやVPNなどの本格的な活用が始まった中、それらを狙った攻撃が行われているようです。

このような新たな脅威に対しては、以下のセキュリティ対策が有効と考えられています。個人と組織の立場別に具体的な対応をまとめました。

セキュリティ確保のための対応

対策や対応 個人 組織
情報リテラシーや情報モラルの向上 ・セキュリティ教育の受講 ・セキュリティ教育の実施
被害の予防
(被害に備えた対策含む)
表 1.3「情報セキュリティ対策の基本」を実施
・組織のテレワークのルールを遵守(使用する端末、ネットワーク環境、作業場所等)
セキュリティ教育の実施
・シンクライアント、VPN、ZTNAなどのセキュリティに強いテレワーク環境の採用
・テレワークの規程や運用ルールの整備(組織支給PCと私物PCの違いも考慮)
・テレワークで利用するソフトウェアの脆弱性情報の収集と周知、対策状況の管理 ・セキュリティパッチの適用(VPN装置、ネットワーク機器、PC等)
被害を受けた後の対応 ・CSIRT*への連絡 ・CSIRTの運用によるインシデント対応(影響調査および原因の追究、対策の強化)
組織としての体制の確立 ・CSIRTの構築
・対策予算の確保と継続的な対策の実施
・テレワークのセキュリティポリシーの策定
被害の早期検知 ・適切なログの取得と継続的な監視
・ネットワーク監視、防御UTM・IDS/IPSなどの導入

* CSIRT(Computer Security Incident Response Team、シーサート):コンピューターセキュリティにかかわるインシデントに対処するための組織。
参考:「情報セキュリティ10大脅威 2021」解説書(IPA 独立行政法人 情報処理推進機構)をもとに表作成

[イメージ]表 1.3「情報セキュリティ対策の基本」
出典:情報セキュリティ10大脅威 2021(IPA 独立行政法人 情報処理推進機構)

自治体におけるテレワークのセキュリティ

自治体においては、上記「表1.3 情報セキュリティ対策の基本」に記載されている対策のほかに、LGWAN接続系のテレワークを認める場合のセキュリティ対策も考慮する必要があります。
自治体に求められるセキュリティについては、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(現時点で2020年12月版が最新)の中で示されており、以下の対策が求められます。

  • 情報資産の重要性を踏まえて対象となる資産を明確化する
  • テレワークで扱うことができる情報資産について規則を整備する
  • 外部からの不正な通信、マルウェアによる情報漏えいを防ぐためにアクセス制御などの技術的対策を行う
  • なりすまし、情報漏えい、盗難・紛失といったリスクなどを踏まえ、取り扱う情報の重要度を勘案しつつ、適切なセキュリティ対策を講じる
  • 大量または機微な住民情報を扱う業務がある場合はテレワークの対象外とする
    (庁舎と同等の物理的な対策がなされたサテライトオフィスでの場合を除く)

なお、マイナンバー利用事務系は、住民情報などの特に重要な情報資産が大量に配置されており、情報漏えいリスクが高いことから、テレワークの対象外としなければなりません。

さらに、以下のリスクとセキュリティ対策の方向性のとおり、適切なセキュリティ対策を行わなければならないとされています。

[イメージ]図表25 テレワークにおけるリスクと対策の方向性
出典:地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)(総務省)

また、総務省の「テレワークセキュリティガイドライン」が、近年のテレワークを取り巻く環境やセキュリティ動向の変化を踏まえて、全面的に見直しされました(現時点では案が公開)。ガイドライン改定の主要ポイントは以下のとおりとなっています。

  • テレワーク方式を再整理した上で、テレワークによって実現する業務の内容や、セキュリティ統制の容易性などから、適した方式を選定するフローチャートを掲載
  • 経営者・システム管理者・勤務者の立場それぞれにおける役割を明確化
  • 執るべきセキュリティ対策の分類や内容を全面的に見直し
  • テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し

特に、テレワークセキュリティに関連するトラブルの具体的事例は、セキュリティ上留意すべき点や、採るべき対策についても明示されていますので、あわせて参照されることをお勧めします。

テーマ別まとめ

注目キーワードに関連した記事をまとめました。

何をお探しですか?

配信を希望される方へ

自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。

ご登録はこちらから