情報処理学会IOT/SPT合同研究会資料 2016.9.24

1. 自治体の情報セキュリティ強靭化策
〜年金機構事件は現場に何をもたらしたか〜
立命館大学情報理工学部
NPO情報セキュリティ研究所
芦屋市CIO補佐官
上原哲太郎
http://uehara.tetsutaro.jp
twitter: @tetsutalow

2. 自治体とは何であるか？
 国とは違う存在（法的には対等）
 独自の政府・独自の議会・都道府県毎の警察
 行っている業務が2種類ある
 自治事務＝自治体が自主的にやる
 住民基本台帳制度、運転免許証…
 住基カード関係
 都道府県の事務を市区町村が受託する例もある
 国の事務＝国からの法定受託事務
 地方自治法別表第一に定義
 旅券、戸籍、生活保護など
 マイナンバーカード関係

3. 問題：自治体っていくつある？
都道府県：４７（東京都1362万人vs島根県69万人）
市区町村：７９０市２３区７４５町１８３村
合計１７１８市区町村（今日現在）
横浜市373万人vs青ヶ島村168人
広域連合：１１６
一部事務組合：１３４８（H25年末）
財産区：４００４（H26.4）

4. 自治体とセキュリティ
 自治体においては個人情報は極めて機密性が高い
∵それ以外の多くの情報は情報公開条例の対象
→個人情報保護条例でルール化
 （民間の）個人情報保護法より「厳しい」
 自治体内の各部局を「実施主体」＝責任主体
 情報の流通に法令等の根拠を要する
 情報公開条例とセットで制定→透明性確保
 個人情報保護審議会等の監視監督
 情報漏洩させた者に直罰
 セキュリティ全体に対しては
セキュリティポリシー制定で対応
 ただしルールは自治体毎に異なる

5. そもそも個人情報の定義が
条例によって異なる
民間の個人情報保護法では，
「生存する個人に関する情報であって，当該情報
に含まれる氏名，生年月日その他の記述等により
特定の個人を識別すること ができるもの（他の情
報と容易に照合することができ，それにより特定
の個人を識別することができることとなるものを
含む．）をいう．」
と、定義している.ところが…
5

6. 都道府県による個人情報概念の調査結果
6
49%
28%
0%
0%
21%
2% 都道府県
(1)生存者非限定，照合性あり
(2)生存者限定，照合性あり
(3)生存者非限定，容易照合性あり
(4)生存者限定，容易照合性あり
(5)生存者非限定，照合性なし
(6)生存者限定，照合性なし

7. 地方公共団体における情報セキュリティポ
リシーに関するガイドライン（H27.3版)
 総ページ数177
 セキュリティポリシーの「基本方針」
「対策基準」について概要を規定
 政府統一情報セキュリティ対策基準に準拠
 対策基準はかなり詳細な内容（36頁）
 Word雛形あり 各自治体が使いやすい
 事実上自治体の情報セキュリティ管理体制に
ついて最低ラインを示すもの

8. 「電子自治体」の現実
 住民の悩み
 使いやすくない
改善を求めてもなかなか直らない
 コストがかかりすぎているのでは？
 セキュリティは大丈夫なのか？
 自治体現場の悩み
 大変大きなコストがかかる
 管理負担が重い
 その割に業務は効率化されていない

9. 従来の典型的自治体情報システム
（でも現実は千差万別）
住基
戸籍
乳幼児
選挙・・・
固定資産
軽自動車
・・・
税務
バッチ処理
or 即時連携
フ
ァ
イ
ア
ウ
ォ
ー
ル
文書管理
施設予約
・・・
イ
ン
タ
ー
ネ
ッ
ト
イ
ン
タ
ー
ネ
ッ
ト
Web
メール
議会録
提供・・
フ
ァ
イ
ア
ウ
ォ
ー
ル
ま
た
は
未
接
続
LGWANLGWAN
FW/文書交換
システム等
住基ネット住基ネット
FW／GWサーバ
FW
住基CS
LGWAN
ASPへ
住基ネット接続系 LGWAN/外部接続系
ASP

10. 情報システム調達の典型的体制
 情報化委員会等に
各原課がシステムを
導入申請
 情報課管理の
基幹システムを通じ
連携
 予算・費用対効果等
は議論の俎上だが
全体整合の調整は？
CIO＝副市長
CIO補佐＝総務部長 or 情報課長
情報化委員会
財務
部長
市民
課長
その他
原課長等 情報
課長
原課
申
請
原課
申
請
原課
申
請
システム システム システム
基幹
システム
管理？
原課調達主義問題

11. 自治体情報システムの
原課調達主義問題
 各原課が業務で使用する情報システムを
個別に申請・調達・運用する体制
 原課は情報システムの専門家ではないので…
 システムの機能・処理能力と費用の関係について
適正な評価が出来ない→費用対効果悪化
 「使い勝手」を仕様に記述できない→導入後改修
 他システムとの連携・システム更新時のコストを
見誤る・見落とす→導入後追加調達
 定期的異動で運用ノウハウ喪失→導入業者依存
 セキュリティも導入業者任せ→ポリシー不整合
 ルールは多様なのでベンダーのカスタマイズ負担も大きい

12. 自治体情報システムに見られる
「ストックホルム症候群」
 ©前田達之(@keikuma)氏
 cf. サーバ管理者日記 2010年8月19日
 原課調達主義＋減点評価主義から産まれる
 不適切な調達・導入・運用にも関わらず、
導入業者のミスを原課がかばう現象
 ミスの本質が指摘できない場合もある
 結果、軽微な事故の報告は隠蔽される
 特に情報セキュリティ関連の事故は報告すると
個人情報漏洩の懸念から責任追及されやすい
→隠蔽体質になる
 ハインリッヒの法則（ヒヤリハットの法則）に従い
重大事故の危険を見逃した状態でシステムが放置される

13. 年金機構事件の大きな構図
LAC「日本年金機構の情報漏えい事件から、我々が得られる教訓」より

14. 問題とされたこと
 先立つ攻撃は自力で阻止していたが
被害に遭った攻撃は見逃した
 GSOCからの注意喚起が
NISC→厚労省→年金機構へ伝わる間に
迅速さ・的確さを欠いていた
 そもそも基幹システムにあるデータが
なぜ解放系システムにあったのか？
 エンドユーザコンピューティング（EUC）

15. 年金機構で使われたC&Cサーバを
漁ってみたら…
http://d.hatena.ne.jp/Kango/20150626/1435328363
No 組織名 発表日 発端 感染日 感染台数 情報漏えい等の状況
1 日本年金機構 6月1日
NISCからの情報提供
(5月8日)
5月8日 31台 少なくとも約125万件の個人情報漏えい
2 石油連盟 6月9日
外部組織からの情報提供
(5月26日)
4月以前? 数台 約2.7万件の個人情報漏えい。
3 東京商工会議所 6月10日
JPCERT/CCからの情報提供
(5月11日)
不明 1台 最大約7千件の個人情報漏えい。
4 国立医薬品食品衛生研究所 6月13日
厚生省からの情報提供
(6月11日)
不明 1台 不明
5 国立精神・神経医療研究センター 6月13日
厚生省からの情報提供
(6月11日)
不明 0台 不明
6 健康保険組合連合会 6月13日
厚生省からの情報提供
(6月10,11日)
不明 2台 不明
7 国際協力機構(JICA) 6月16日
外務省点検指示を受けて発覚
(6月2日)
不明
PC10台
サーバー8台
漏えい確認なし。
8 ひろしま国際センター 6月16日
警察からの情報提供
(6月12日)
5月下旬 5台
漏えい確認なし。但し端末に約1千人の個人情報
保存あり。
9 中間貯蔵・環境安全事業株式会社(JESCO) 6月17日
外部組織からの情報提供
(6月12日)
5月25日 2台 漏えい確認なし。
10 上田市役所 6月16日
JPCERT/CCからの情報提供
(6月12日)
5月26日以前 3台 外部へ不正アクセスの踏み台に悪用。
11 全国健康保険協会 6月17日
厚生省点検指示を受けて発覚
(6月16日)
不明 4台 漏えい確認なし。但し端末に個人情報保存あり。
12 海外産業人材育成協会(HIDA) 6月17日 不明
不明
(判明6月12日)
不明 職員氏名、メールアドレスが漏えい。
13 香川大学医学部付属病院 6月19日
香川県警からの情報提供
(6月12日)
5月下旬 1台
漏えい確認なし。但し端末に患者、学生情報保
存あり。
14 ホテルグランドヒル市ヶ谷 6月19日 不明 6月11日 1台*1 漏えい確認なし。
15 早稲田大学 6月22日
外部からの情報提供
(6月5日)
2014年12月11日 不明 約3千件の個人情報漏えい。
16 九州歯科大学附属病院 6月23日
福岡県警からの情報提供
(6月11日)
6月1日 1台 外部へ不正アクセスの踏み台に悪用。
17 法務省 6月25日 不明 不明 1台 漏えい確認なし。
長野県上田市が！

16. 「自治体のマイナンバーは大丈夫？」
 2017年7月の連携開始前になんとかしないと！
 自治体情報セキュリティ対策検討チームが
編成され急遽対応を協議
 上原哲太郎 立命館大学情報理工学部教授
 大高利夫 藤沢市総務部参事兼IT推進課長
 岡村久道 弁護士 国立情報学研究所客員教授
 佐々木良一 東京電機大学未来科学部教授 (内閣官房サ
イバーセキュリティ補佐官)（座長）
 佐野茂樹 上田市総務部広報情報課係長
 原田智 京都府政策企画部情報政策統括監
 三輪信雄 総務省最高情報セキュリティアドバイザー

17. 検討チームでの主な議論
 年金機構で連絡不備があった反省を
→各自治体にCSIRT体制構築を改めて要請
 GSOCはよく働いたが同様のことは多分
各自治体に頼むのは無理だろう
→都道府県単位にSOC共同運営し
対外サーバはクラウド化を推進
 標的型対策はネット分離の徹底でどうか
→マイナンバー系を完全分離しよう
 それでもインターネットから
データ取り込みが発生する
→メールが「無害化」できればいい？

18. マイナンバー関係のシステム全体図
内閣府資料http://www.cas.go.jp/jp/seisaku/bangoseido/download/slidejigyou_siryou.pdf

19. 内閣官房資料www.kantei.go.jp/jp/singi/it2/cio/dai57/siryou3.pdf

20. セ
キ
ュ
リ
テ
ィ
ク
ラ
ウ
ド
セ
キ
ュ
リ
テ
ィ
ク
ラ
ウ
ド
「あるべき姿」と
されるもの
住基接続LAN
文書管理
施設予約
・・・
LG-WAN接続LAN
インターネット系LAN
Web
メール
議会録
提供・・
フ
ァ
イ
ア
ウ
ォ
ー
ル
ま
た
は
未
接
続
LGWANLGWAN
FW/文書交換
システム等
住基ネット住基ネット
FW／GWサーバ
FW
住基CS
LGWAN
ASPへ
イ
ン
タ
ー
ネ
ッ
ト
イ
ン
タ
ー
ネ
ッ
ト
ファイアウォール
SOC監視
住民の
マイナンバー 職員の
マイナンバー
ここの切断が
どこまで出来るか？

21. こんな罵声を浴びることに
ネットを切り離されると
仕事にならない！
強靭化を決めた人たちは
現場を知らなさすぎる！

22. We know!
 仕事に絶大な影響があるのは百も承知
 だが、他に手はないのではないか
 住民を納得させられる唯一の手では？
 これまでの例を見る限りは
自治体に攻撃を自力で発見し
防止する力はない…
 変えるべきは「仕事のやりかた」では？

23. 仕事見直しの遠い道のり
添付ファイルつき
メールは業者との
連絡に必須で…
基幹システムに
決済システムがあって
そこにネットからの
文書を添付しないと…
メールじゃなくて
ファイル授受サーバを
クラウド上に作れば？
決済権者が
その文書を本当に
そのシステム上で
チェックするの？
時代が変われば仕事のやり方も変わるもの
カイゼンにまずNoから入る輩は去れ

24. 「ファイル無害化」の拡大解釈…
 最初は「添付ファイル禁止」
→添付ファイルのないプレーンテキストの
メールは内部に転送しても良いのでは？
 それが次第に拡大解釈されていく…
 単純な画像ファイルならOK？
→PDFなども画像にしちゃえば良い？
 PDFやWord/Excelもマクロ外せばOK？
 「無害化」を謳う製品がいくつも出現
 評価基準もないのに…
→最終的には自治体の判断に任せるしか…

25. いろいろ出てきた無害化製品
 単純に「画像化」するもの
 Office系ファイルをOpenOffice系ファイ
ルに変換してしまうもの
 マクロがあれば消えるなど
 Office系ファイル中心に
一度バラバラにして再構成するもの
 VM内で一度見せてそのままVMごと
消し去るもの
 閲覧しかできない

26. 業務の
セキュリティ・バイ・デザインを！
 業務にITが「正しく」組み込まれていない
 ITは業務への使われ方が本質的でない
 ワープロを清書ツール、Excelをそろばんの代替
メールを郵便の代替として使っている
 本質は業務における「データフロー」の最適化
 それが整理されないので情報管理ができず
リスクポイントばかりが増えてゆく
 まずは業務をITに合わせ見直し効率化
それがリスクの所在を顕在化させ
効率のよい守りに繋がってゆくはず！

27. 標的はシステムではなく「人」
人にデータを食わせるWebとメール
 システムは脆弱性対策に集中したい
 それさえできれば後は怖いのは
「人」に不定型なデータを拾わせる機会
データを人手で扱わせる機会を
できるだけ削っていかないとリスクが減らない
CSVを落として
列を加えて
コピペして
一部手で直して
再度Upload…
データ選択
クリック
おわり！

28. 今後はこれを比較しよう
業務改善
システム化
コスト
セキュリティ
対策コスト
セキュリティのために仕事をするのではなく
仕事のためにITを使い、そこにセキュリティを見いだす 28

29. 今感じていること
 役人に仕事のやり方を変えさせるのは大変
 そもそも「他所に言われる」のを嫌う
 形式に非常にこだわりが強い
 前例踏襲主義が強い
 未だにIT不信のようなものがある
 仕事がなくなることに関する漠たる恐怖？
 理解できない＝結果の検証が出来ない不安
 一方ITリテラシがびっくりするほど低い
 ネ申Excel問題
 でもやれることからでもやらないと

30. おわりに
 自治体で上手くいけば
中小企業あたりでも何とかなるかも
 今の主な問題は添付ファイルなので
「添付ファイルに頼った」業務フローの
改善のためのいろんなアイデアが
出てくることを期待したい