My Photo

« 性被害者支援センター 人材集まらず 重い責任、無給など低処遇   | Main | 憲法危機から浮かび上がる、日本のジェンダー不平等(メモ) »

行政手続き・個人識別番号(マイナンバー)端末、自治体4割が情報持ち出し可能 会計検査院

 2015年の行政手続きにおける個人識別番号(マイナンバー)制度導入で国と自治体がネットワークで密接につながったことから、自治体のセキュリティ対策強化のために財政支援等をしてきたが、その状況を会計検査院が抽出調査。自治体4割が情報持ち出し可能! ・・・「持ち出し禁止を解除する際にセキュリティ管理者の許可を得る取り決めだったにもかかわらず、許可なしでも情報を持ち出せるようになっていた。日常的に情報の持ち出しが必要であることを理由に持ち出し不可の設定を5年以上解除したままの端末がある自治体もあった。」と報道。

パスワードですら大文字・小文字と数字の組み合わせ、一定期間で変更することが推奨される現代において、一生変わらない数字コードって、大量漏洩するのは時間の問題と思う。

 下段に、会計検査院の報告から「所見」部分を引用。

【マイナンバー端末、自治体4割が情報持ち出し可能 会計検査院指摘 毎日1/15

【「国による地方公共団体の情報セキュリティ対策の強化について」 会計検査委 2020/1/15

【マイナンバー端末、自治体4割が情報持ち出し可能 会計検査院指摘 毎日1/15

  地方自治体の情報セキュリティを巡り、会計検査院が抽出調査したところ、少なくとも約4割の市区町村で、管理者の許可なしにマイナンバー利用端末などから情報を持ち出すことが可能になっていたことが判明した。検査院が15日、発表した。

  国は2015年のマイナンバー制度導入で国と自治体がネットワークで密接につながったことを受けて、各自治体に情報セキュリティ対策の費用を補助。マイナンバー利用端末から情報を持ち出すことを基本的にできなくすべきだといった考え方を示していた。

  検査院は1516年度に強化対策費の補助を受けた46都道府県と1727市区町村のうち、18都道府県と223市区町村について抽出調査した。その結果、少なくとも対象市区町村の39%にあたる87市区町村で、持ち出し禁止を解除する際にセキュリティ管理者の許可を得る取り決めだったにもかかわらず、許可なしでも情報を持ち出せるようになっていた。日常的に情報の持ち出しが必要であることを理由に持ち出し不可の設定を5年以上解除したままの端末がある自治体もあった。

  検査院は総務省が自治体に助言すべきだと指摘した。同省地域情報政策室の担当者は「改善を支援していきたい」と話している。【渡辺暢】

 

 

 

【「国による地方公共団体の情報セキュリティ対策の強化について」 会計検査委 2020/1/15

 4 所見

(1)検査の状況の概要

総務省は、年金情報流出事案等を受けて設置した検討チームから、11月報告におい て、三層の構えとして、マイナンバー利用事務系においては、原則として、他の領 域との通信ができないように分離を徹底した上で、端末への二要素認証や情報持出し 不可設定の導入等を図ることにより、住民情報の流出を徹底して防ぐこと、マイナ ンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するため、 LGWAN接続系とインターネット接続系との通信経路を分割した上で、両システム 間で通信する場合には、ウイルスの感染のない無害化通信を図ること、インターネ ット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約 した上で、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講 ずることが提言された。総務省は、これを踏まえて、12月通知により地方公共団体に 対し、三層の構えによる情報セキュリティ対策の強化を要請するとともに、平成27年度補正予算において強化対策費補助金を交付した。そして、地方公共団体は、これを 受けて、情報セキュリティ対策の強化等を行い、27年度以降順次、運用を開始するな どしている。また、総務省は、地方公共団体における情報セキュリティ対策向上に寄 与することを目的として支援PFを運用するなどしている。 そこで、会計検査院は、強化対策費補助金等の状況について、合規性、経済性、効 率性、有効性等の観点から、強化対策費補助金の交付状況はどのようになっている か、強化対策費補助金等による地方公共団体の情報セキュリティ対策の強化は、補 助金交付の目的に照らして適切に実施されているか、また、補助金交付の目的を実現 し、効果を持続させるための体制等は整備されているか、総務省は強化対策費補助 金で強化された情報セキュリティ対策の実効性を確保するためどのような支援を行っ ているか、支援PFは有効に機能しているかに着眼して検査したところ、次のような 状況が見受けられた。

 

ア 強化対策費補助金の交付状況

 () 都道府県への強化対策費補助金の交付状況 18都道府県に対して交付された強化対策費補助金計272938万余円を補助対象 事業別にみると、18都道府県の全てがセキュリティクラウド事業を実施して計22 5145万余円(交付実績額の合計に占める割合82.4%)の交付を受けており、10 都道府県は強じん性向上事業にも交付を受けていた(1617ページ参照)。

() 市区町村への強化対策費補助金の交付状況 223市区町村に対して交付された強化対策費補助金計340981万余円を補助対象 事業別にみると、223市区町村の全てが強じん性向上事業を実施して計338299万 余円(交付実績額の合計に占める割合99.2%。事業別に分離できない交付実績額 計1638万余円を除く。)の交付を受けており、27市区町村はセキュリティクラウ ド事業にも交付を受けていた(17ページ参照)。

 

イ 三層の構えによる情報セキュリティ対策の強化の実施状況等

(ア)・マイナンバー利用事務系の端末等の二要素認証等の実施状況等

 a マイナンバー利用事務系における端末等の配置状況

18都道府県及び管内223市区町村の計241地方公共団体のマイナンバー利用事務系の端末等の配置状況について、マイナンバー利用事務系の端末のみを配置 しているのは、16都道府県及び198市区町村の計214地方公共団体、マイナンバー仮想利用端末のみを配置しているのは、1都道府県及び4市区町村の計5地方公 共団体、マイナンバー利用事務系の端末とマイナンバー仮想利用端末を併用し ているのは1都道府県及び21市区町村の計22地方公共団体となっていた(182 0ページ参照)。

 b マイナンバー利用事務系の端末への二要素認証の導入等の状況

223市区町村のうち、マイナンバー利用事務系の端末を配置し、全部又は一部 の端末に二要素認証を導入していた217市区町村における導入した端末の範囲や 運用等の状況をみたところ、マイナンバー利用端末の一部に二要素認証を導入 していないのが12市区町村となっており、このうちマイナンバー利用端末の全 てに導入する予定があるとしていないものが10市区町村となっていた。マイナンバー利用端末の一部に導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていない市区町村においては、マイナンバー利用端末に一 要素による認証でログインでき、正規の権限を持たない職員等が、正規の権限を持つ職員になりすましてログインして、特定個人情報に不正にアクセスすることが、二要素認証を導入した端末に比べて容易な状況となっていた。 上記の217市区町村における、「所持」又は「存在」による認証がエラーとなった際等の代替手段の状況をみたところ、27市区町村は、認証の代替手段となるパスワードをあらかじめ設定する運用を行うなどしていた。また、7市区町村 は、一部のアカウントについて、端末及び業務システムにログインするために 必要となる「知識」及び「所持」の認証の手段を職員の間で両方とも共有していて、共有している認証の手段のみで端末及び業務システムにログインが可能な状況となっていた。さらに、特定個人情報を端末のローカルドライブ等に保 存していた122市区町村について、特定個人情報を保存していた端末のローカル ドライブ等にアクセスできる端末に共有している認証の手段のみでログインできるかみたところ、15市区町村では、共有している認証の手段のみで端末にロ グインできる状況となっており、不正アクセスや情報漏えいが発生した場合に 不正アクセスした者等の特定が困難になるおそれがある状況となっていた。また、16市区町村では、段階的な認証方法を採用しているため、一要素による認証で端末にログインし、特定個人情報に不正にアクセスできる状況となっていた。そして、7市区町村では、同じ課室内に所属する正規の権限を持たない職員でも共有フォルダに保存されている特定個人情報にアクセスできる状況となっていた(2028ページ参照)。

 c マイナンバー利用事務系の端末からの情報持出し不可設定の導入等の状況

 223市区町村のうち、マイナンバー利用事務系の端末を配置し、全部又は一部の端末に情報持出し不可設定を導入していた218市区町村における導入した端末の範囲や運用等の状況をみたところ、マイナンバー利用端末の一部に情報持出し不可設定を導入していないのが13市区町村となっており、このうちマイナン バー利用端末の全てに導入する予定があるとしていないものが12市区町村となっていた。マイナンバー利用端末の一部に導入しておらず、マイナンバー利用 端末の全てに導入する予定があるとしていない市区町村においては、特定個人 情報を持ち出す正当な理由のない職員が、情報持出し不可設定を導入していない端末から不正に特定個人情報を持ち出すことが、情報持出し不可設定を導入した端末に比べて容易な状況となっていた。

 218市区町村における例外的な情報持出しの運用状況をみたところ、端末からの例外的な情報持出しを認めている203市区町村のうち、160市区町村では管理者権限を持つ職員等が職員からの申請に基づいて情報持出し不可設定を解除する運用を行っており、このうち、期限を設けることなく情報持出し不可設定を解除する運用をしているものが62市区町村、解除期間を1か月以上としているものが27市区町村となっていた。

期限を設けることなく解除する運用をしている市区町村及び情報持出し不可設定の解除期間を1か月以上としている市区町村の純計87市区町村について、情報を持ち出す場合の情報セキュリティ管理者の許可の実施状況をみたところ、 全ての市区町村において情報セキュリティ管理者による許可がなくても情報を 持ち出すシステム操作ができるようになっており、このうち29市区町村では、 情報セキュリティ管理者に許可を得る運用もしていない状況となっていた。 また、情報持出しに係る記録等の実施状況をみたところ、44市区町村では全部又は一部の媒体についてログを保存していないとしていた。そして、情報を 持ち出す際の氏名、日時、持出物等の台帳等への記録については、77市区町村 が記録していないとしていた。さらに、データ暗号化機能を備える外部記憶媒体の使用等の状況についてみたところ、81市区町村は暗号化の実施を職員が任意で行っている状況となっており、56市区町村は、そもそも暗号化機能を備える外部記憶媒体を使用するなどしていなかった2835ページ参照)。

(イ)・マイナンバー利用事務系等の分離、分割等の実施状況等

 a マイナンバー利用事務系の他の領域からの分離及びLGWAN接続系とイン ターネット接続系との通信経路の分割の状況 223市区町村における領域間の分離及び分割の状況をみたところ、マイナンバ ー利用事務系と他の領域の分離及びLGWAN接続系とインターネット接続系 の分割については、313月末現在において全ての市区町村が分離及び分割を行 っていた(3536ページ参照)。

b マイナンバー利用事務系等の分離及び分割後の領域間通信の状況

 223市区町村における領域間通信について、通信内容の種類別及び領域別にみたところ、217市区町村において延べ1,672件の領域間通信が行われていた。

 そして、マイナンバー利用事務系と他の領域との間の領域間通信の通信制御の状 況をみたところ、59市区町村の延べ247件において、通信経路の限定又は通信プ ロトコルの限定のうち少なくともいずれか一つが行われていない状態で領域間通信が行われていた。このうちマイナンバー利用事務系とインターネット接続系の領域間の通信制御の状況についてみたところ、3市区町村の延べ4件におい て、通信経路の限定又は通信プロトコルの限定のうち少なくともいずれか一つ が行われていない状態で領域間通信が行われていた(3638ページ参照)。

 c  LGWAN接続系とインターネット接続系との通信経路の分割後のインター ネット接続系からLGWAN接続系への無害化通信の状況

 会計実地検査時点において、LGWAN接続系とインターネット接続系の分割が行われている222市区町村について、メール本文及び添付ファイル等の転送 又は収受に当たり、強じん性向上事業により整備した機器等により無害化が行 れているか確認したところ、メール本文を無害化することなく転送しているのが4市区町村等となっていた。また、添付ファイル等の転送又は収受における 無害化の状況についてみると、無害化を行うことなく転送又は収受しているの が49市区町村等となっていた(3840ページ参照)。

 d LGWAN接続系とインターネット接続系との通信経路の分割後のLGWA N接続系におけるOSの更新プログラム等の適用の状況

上記の222市区町村について、LGWAN接続系とインターネット接続系の分 割前後におけるLGWAN接続系に配置された端末等への更新プログラム等の適用状況を確認したところ、LGWAN接続系とインターネット接続系の分割後である305月末時点において、更新プログラムを適用していないのが、分割前の26市区町村から54市区町村へ、更新データを適用していないのが、分割前の9市区町村から14市区町村へと増加していた。そして、これら54市区町村及び 14市区町村の分割前における更新プログラム等の適用頻度についてみると、それぞれ29市区町村及び9市区町村は、分割前には1か月以内の頻度で適用していたのに、分割後に適用を行わなくなっていた4041ページ参照)。

 

(ゥ)自治体情報セキュリティクラウドによる高度なセキュリティ対策の実施状況等

 a 自治体情報セキュリティクラウドへの接続状況

 18都道府県が構築した自治体情報セキュリティクラウドへの接続状況をみた ところ、会計実地検査時点において、237地方公共団体が自治体情報セキュリティクラウドに接続していた。自治体情報セキュリティクラウドに接続していない4地方公共団体のうち2地方公共団体は、近隣市区町村が別途構築したセキュリティクラウドに接続して共同利用しており、他の2地方公共団体は、313月末現在において、自治体情報セキュリティクラウドに接続している(4142ペ ージ参照)。

  b 自治体情報セキュリティクラウドに接続する地方公共団体における監視対象

 機器等の集約状況等 18都道府県が構築した自治体情報セキュリティクラウドについて、監視対象 機器等の集約化のための設備の整備状況をみたところ、外部DNSサーバについては1都道府県、LGWAN接続ファイアウォールのログについては8都道府県が、それぞれ集約化のための設備を整備していないなどして、監視対象から除かれていた。また、上記の自治体情報セキュリティクラウドに接続している 237地方公共団体について、自治体情報セキュリティクラウドにおける集約及び 監視状況をみたところ、Webサーバについては26地方公共団体、外部DNS サーバについては44地方公共団体、LGWAN接続ファイアウォールのログに ついては116地方公共団体において、集約化のための設備が自治体情報セキュリ ティクラウドに整備されていないなどしていて、集約及び監視が行われていなかった。

そして、各地方公共団体において別途管理されている機器等についての監視の状況をみたところ、「情報セキュリティ専門人材による監視・分析を 行っていない」とするのがWebサーバについては6地方公共団体、外部DNS サーバについては11地方公共団体、LGWAN接続ファイウォールのログにつ いては63地方公共団体等となっていた4244ページ参照)。

  c 自治体情報セキュリティクラウドに接続する地方公共団体におけるインシデ ント対応体制

 上記の237地方公共団体について、不正な通信を行っている端末等のIPアド レス等の特定や遮断等の対応が可能かをみたところ、190地方公共団体は端末の特定等の対応の一部又は全部に事業者等の「他の組織の支援等を必要とする要素あり」としていて、このうち70地方公共団体は「全ての端末等について自治体情報セキュリティクラウド側で特定が可能」としているものの、残りの120地 方公共団体は、接続している地方公共団体側で端末特定に係る作業を要する状況となっていた。

そして、このうち77地方公共団体は「端末等を特定するため に事業者等の支援等が必要」としているが、このうち11地方公共団体は支援等を行う事業者等との間で役割の確認を行っていなかったり、役割の確認を踏ま えた内容で契約を締結していなかったり、必要な内容で契約が締結されている かの確認を行っていなかったりしていた。

さらに、上記190地方公共団体のうち160地方公共団体は自らにおいてネット ワーク遮断を実施することがあるとしていて、このうち129地方公共団体は遮断を実施するために事業者等の支援等を必要としている。しかし、このうち23地 方公共団体は支援等に係る役割の確認及びそれを踏まえた契約の締結等を行っていなかった

 インシデント発生時に自治体情報セキュリティクラウドが実施するネットワーク遮断について、遮断の判断主体をみたところ、ネットワークの遮断を判断する際に、接続している地方公共団体側において遮断を判断することとしている12都道府県の自治体情報セキュリティクラウドに接続する160地方公共団体のうち76地方公共団体及び判断主体が決まっていない1都道府県の自治体情報セキ ュリティクラウドに接続する7地方公共団体のうち5地方公共団体は、遮断の判 断に至る手順を策定していないなどしていた(4547ページ参照)。

 

(ェ)・情報セキュリティ対策の実効性を確保するための体制整備等

 a 情報セキュリティポリシーの策定及び強じん化に係る改定等の状況

 241地方公共団体について、対策基準の策定及び強じん化を踏まえた改定等の 取組の状況をみたところ、対策基準を策定していなかったものは3地方公共団体、 強じん化を踏まえた規定がないとしているのが178地方公共団体となっていた。 そして、3011月末時点の対策基準の改定の予定については、178地方公共団体 のうち40地方公共団体が未定としていた(4748ページ参照)。

  b 強じん性向上事業実施後のセキュリティリスクへの組織的な対応

 241地方公共団体のインシデント発生時における対応体制の整備等の状況をみたところ、CSIRTを設置していたのは130地方公共団体(241地方公共団体 に占める割合53.9%)となっていて、このうち16地方公共団体では、CSIRTの要員及び機能について文書化していなかったり、37地方公共団体では緊急時対応計画を策定していなかったり、49地方公共団体ではインシデント発生時 に国及び庁内CISO等へ一斉同報する連絡ルートを構築していなかったりし ていた

 緊急時対応計画における標的型攻撃に対応する内容の規定の整備状況及び緊急時対応訓練の実施状況をみたところ、緊急時対応計画において標的型攻撃に対応した内容を規定しているとしたのは66地方公共団体(同27.3%)、緊急時対応訓練を実施したのは54地方公共団体(同22.4%)、いずれも実施していたのは28地方公共団体(同11.6%)にとどまっていた4850ページ参照)。

 

  ウ 支援PFの利活用の状況

(ア)支援PFへの情報の登録等の状況

 279月から305月までの29か月に、支援PFに登録されたインシデント関 掲示板機能については、情報の総登録件数は45件となっていた。

Q&A機能に ついては、問合せの総登録件数は32件で、292月以降は3件にとどまっていた。

 ワーキンググループ機能については、情報の総登録件数は、3件掲載されたのみと なっていて、2711月以降は情報の登録はなかった。

その他関連情報機能につい ては、情報の総登録件数は41件で、296月以降は情報の登録はなかった。

自治体 の掲示板機能については、当該機能が追加された283月以降、質問の投稿が全くなかった。

また、支援PFの利用等の状況について、支援PFにアクセスした個別のユーザーの月ごとの数を確認したところ、2811月以降は毎月100ユーザー未満にとどまっていた(5153ページ参照)。

 

(イ)支援PFの利用等の状況

 241地方公共団体に支援PFの利用状況を確認したところ、68地方公共団体は、 会計実地検査の時点まで「支援PFの存在を知らなかった」としており、全く利用していなかった。また、「支援PFの存在を知っていた」とする173地方公共団 体の利用状況を確認したところ、「ほとんど利用していない(利用頻度が3か月に 1回程度未満)」とするものが49地方公共団体(241地方公共団体に占める割合20. 3%)、「ログインが初回実績のみ」とするものが37地方公共団体(同15.3%)、 「全く利用したことがない」とするものが74地方公共団体(同30.7%)となって いた5356ページ参照)。

 

(2)所見

 基本法において、国は、サイバーセキュリティに対する脅威の深刻化等に伴い、サイバーセキュリティの確保に関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。

また、マイナンバー制度の施行に伴い、国と地方公共団体等の各機関の特定個人情報等を取り扱う情報システムが相互に接続されたことで、マイナンバー利用事務を行う地方公共団体の情報セキュリティ対策は、公的機関全体にとってますます重要な課 題となっており、政府としても必要な支援を実施していくことになっている。

 ついては、総務省において、地方公共団体における情報セキュリティ対策について、 今後、次の点に留意して取り組んでいく必要がある。

 

ア 地方公共団体における情報セキュリティ対策の強化等

() マイナンバー利用端末への二要素認証等の導入について、二要素認証等の導入状況を十分に把握するとともに、マイナンバー利用端末の二要素認証等の運用に ついて、補助事業実施後の状況を十分に把握した上で、望ましくない運用方法を 具体的に示すなどして、特定個人情報の情報漏えいなどのリスクがより低減されるよう、地方公共団体に対して助言を行うこと

 () マイナンバー利用事務系と他の領域との分離及びLGWAN接続系とインターネット接続系との分割について、分離及び分割後に行われる場合がある領域間通信において、本来意図しない通信やマイナンバー利用事務系等へのコンピュータ ウイルスの感染を防止するための方策を改めて明示するなどして、特定個人情報 の情報漏えいなどのリスクがより低減されるよう、地方公共団体に対して助言を 行うこと

 (ウ)自治体情報セキュリティクラウドによる高度なセキュリティ対策について、補助事業実施後の状況を十分把握した上で、監視・分析の必要な機器等が都道府県にできる限り集約されるなどして専門人材による監視・分析が行われるよう、また、自治体情報セキュリティクラウドに接続する地方公共団体に対して、そのネ ットワーク遮断等を支援する事業者等と役割の確認をすることの必要性を明示するなどして、インシデント発生時に適切にネットワークを遮断することなどができるよう、必要に応じて地方公共団体に対して助言を行うこと

 (エ) 補助事業で強化された情報セキュリティ対策の実効性を確保するために、強じん化を踏まえた対策基準の見直しや、インシデント発生時の体制整備等に係る緊急時対応計画の策定、連絡体制の構築等について、必要に応じて地方公共団体に対して助言を行うこと

 

イ 地方公共団体に対する情報セキュリティ等に係る支援等 支援PFが地方公共団体における情報セキュリティ対策向上に寄与するよう、支 援PFの機能及び利活用の方法等について地方公共団体へ重ねて周知するとともに、 支援の需要を把握して、支援PFが提供する情報や機能の見直しなどについて検討 すること 会計検査院としては、サイバーセキュリティに対する脅威が深刻化する中で、マイナン バー制度において情報連携が行われている情報システムの情報セキュリティ対策の実施状 況等について、今後とも引き続き注視していくこととする。

« 性被害者支援センター 人材集まらず 重い責任、無給など低処遇   | Main | 憲法危機から浮かび上がる、日本のジェンダー不平等(メモ) »

経済・政治・国際」カテゴリの記事

地方自治」カテゴリの記事

治安強化・監視社会」カテゴリの記事

Comments

Post a comment

Comments are moderated, and will not appear on this weblog until the author has approved them.

(Not displayed with comment.)

« 性被害者支援センター 人材集まらず 重い責任、無給など低処遇   | Main | 憲法危機から浮かび上がる、日本のジェンダー不平等(メモ) »

December 2024
Sun Mon Tue Wed Thu Fri Sat
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
無料ブログはココログ