総務省は、年金情報流出事案等を受けて設置した検討チームから、11月報告において、三層の構えとして、①マイナンバー利用事務系においては、原則として、他の領域との通信ができないように分離を徹底した上で、端末への二要素認証や情報持出し不可設定の導入等を図ることにより、住民情報の流出を徹底して防ぐこと、②マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するため、LGWAN接続系とインターネット接続系との通信経路を分割した上で、両システム間で通信する場合には、ウイルスの感染のない無害化通信を図ること、③インターネット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約した上で、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講ずることが提言された。総務省は、これを踏まえて、12月通知により地方公共団体に対し、三層の構えによる情報セキュリティ対策の強化を要請するとともに、平成27年度補正予算において強化対策費補助金を交付した。そして、地方公共団体は、これを受けて、情報セキュリティ対策の強化等を行い、27年度以降順次、運用を開始するなどしている。また、総務省は、地方公共団体における情報セキュリティ対策向上に寄与することを目的として支援PFを運用するなどしている。
そこで、会計検査院は、強化対策費補助金等の状況について、合規性、経済性、効率性、有効性等の観点から、①強化対策費補助金の交付状況はどのようになっているか、②強化対策費補助金等による地方公共団体の情報セキュリティ対策の強化は、補助金交付の目的に照らして適切に実施されているか、また、補助金交付の目的を実現し、効果を持続させるための体制等は整備されているか、③総務省は強化対策費補助金で強化された情報セキュリティ対策の実効性を確保するためどのような支援を行っているか、支援PFは有効に機能しているかに着眼して検査したところ、次のような状況が見受けられた。
18都道府県に対して交付された強化対策費補助金計27億2938万余円を補助対象事業別にみると、 18都道府県の全てがセキュリティクラウド事業を実施して計22億5145万余円(交付実績額の合計に占める割合82.4%)の交付を受けており、10都道府県は強じん性向上事業にも交付を受けていた(2016_3_1_1リンク参照)。
223市区町村に対して交付された強化対策費補助金計34億0981万余円を補助対象事業別にみると、223市区町村の全てが強じん性向上事業を実施して計33億8299万余円(交付実績額の合計に占める割合99.2%。事業別に分離できない交付実績額計1638万余円を除く。)の交付を受けており、27市区町村はセキュリティクラウド事業にも交付を受けていた(2016_3_1_2リンク参照)。
18都道府県及び管内223市区町村の計241地方公共団体のマイナンバー利用事務系の端末等の配置状況について、マイナンバー利用事務系の端末のみを配置しているのは、16都道府県及び198市区町村の計214地方公共団体、マイナンバー仮想利用端末のみを配置しているのは、1都道府県及び4市区町村の計5地方公共団体、マイナンバー利用事務系の端末とマイナンバー仮想利用端末を併用しているのは1都道府県及び21市区町村の計22地方公共団体となっていた(2016_3_2_1_1リンク参照)。
223市区町村のうち、マイナンバー利用事務系の端末を配置し、全部又は一部の端末に二要素認証を導入していた217市区町村における導入した端末の範囲や運用等の状況をみたところ、マイナンバー利用端末の一部に二要素認証を導入していないのが12市区町村となっており、このうちマイナンバー利用端末の全てに導入する予定があるとしていないものが10市区町村となっていた。マイナンバー利用端末の一部に導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていない市区町村においては、マイナンバー利用端末に一要素による認証でログインでき、正規の権限を持たない職員等が、正規の権限を持つ職員になりすましてログインして、特定個人情報に不正にアクセスすることが、二要素認証を導入した端末に比べて容易な状況となっていた。
上記の217市区町村における、「所持」又は「存在」による認証がエラーとなった際等の代替手段の状況をみたところ、27市区町村は、認証の代替手段となるパスワードをあらかじめ設定する運用を行うなどしていた。また、 7市区町村は、一部のアカウントについて、端末及び業務システムにログインするために必要となる「知識」及び「所持」の認証の手段を職員の間で両方とも共有していて、共有している認証の手段のみで端末及び業務システムにログインが可能な状況となっていた。さらに、特定個人情報を端末のローカルドライブ等に保存していた122市区町村について、特定個人情報を保存していた端末のローカルドライブ等にアクセスできる端末に共有している認証の手段のみでログインできるかみたところ、15市区町村では、共有している認証の手段のみで端末にログインできる状況となっており、不正アクセスや情報漏えいが発生した場合に不正アクセスした者等の特定が困難になるおそれがある状況となっていた。また、16市区町村では、段階的な認証方法を採用しているため、一要素による認証で端末にログインし、特定個人情報に不正にアクセスできる状況となっていた。そして、7市区町村では、同じ課室内に所属する正規の権限を持たない職員でも共有フォルダに保存されている特定個人情報にアクセスできる状況となっていた(2016_3_2_1_2リンク参照)。
223市区町村のうち、マイナンバー利用事務系の端末を配置し、全部又は一部の端末に情報持出し不可設定を導入していた218市区町村における導入した端末の範囲や運用等の状況をみたところ、マイナンバー利用端末の一部に情報持出し不可設定を導入していないのが13市区町村となっており、このうちマイナンバー利用端末の全てに導入する予定があるとしていないものが12市区町村となっていた。マイナンバー利用端末の一部に導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていない市区町村においては、特定個人情報を持ち出す正当な理由のない職員が、情報持出し不可設定を導入していない端末から不正に特定個人情報を持ち出すことが、情報持出し不可設定を導入した端末に比べて容易な状況となっていた。
218市区町村における例外的な情報持出しの運用状況をみたところ、端末からの例外的な情報持出しを認めている203市区町村のうち、160市区町村では管理者権限を持つ職員等が職員からの申請に基づいて情報持出し不可設定を解除する運用を行っており、このうち、期限を設けることなく情報持出し不可設定を解除する運用をしているものが62市区町村、解除期間を1か月以上としているものが27市区町村となっていた。
期限を設けることなく解除する運用をしている市区町村及び情報持出し不可設定の解除期間を1か月以上としている市区町村の純計87市区町村について、情報を持ち出す場合の情報セキュリティ管理者の許可の実施状況をみたところ、全ての市区町村において情報セキュリティ管理者による許可がなくても情報を持ち出すシステム操作ができるようになっており、このうち29市区町村では、情報セキュリティ管理者に許可を得る運用もしていない状況となっていた。
また、情報持出しに係る記録等の実施状況をみたところ、44市区町村では全部又は一部の媒体についてログを保存していないとしていた。そして、情報を持ち出す際の氏名、日時、持出物等の台帳等への記録については、77市区町村が記録していないとしていた。さらに、データ暗号化機能を備える外部記憶媒体の使用等の状況についてみたところ、81市区町村は暗号化の実施を職員が任意で行っている状況となっており、 56市区町村は、そもそも暗号化機能を備える外部記憶媒体を使用するなどしていなかった(2016_3_2_1_3リンク参照)。
223市区町村における領域間の分離及び分割の状況をみたところ、マイナンバー利用事務系と他の領域の分離及びLGWAN接続系とインターネット接続系の分割については、31年3月末現在において全ての市区町村が分離及び分割を行っていた(2016_3_2_2_1リンク参照)。
223市区町村における領域間通信について、通信内容の種類別及び領域別にみたところ、217市区町村において延べ1,672件の領域間通信が行われていた。そして、マイナンバー利用事務系と他の領域との間の領域間通信の通信制御の状況をみたところ、59市区町村の延べ247件において、通信経路の限定又は通信プロトコルの限定のうち少なくともいずれか一つが行われていない状態で領域間通信が行われていた。このうちマイナンバー利用事務系とインターネット接続系の領域間の通信制御の状況についてみたところ、3市区町村の延べ4件において、通信経路の限定又は通信プロトコルの限定のうち少なくともいずれか一つが行われていない状態で領域間通信が行われていた(2016_3_2_2_2リンク参照)。
会計実地検査時点において、LGWAN接続系とインターネット接続系の分割が行われている222市区町村について、メール本文及び添付ファイル等の転送又は収受に当たり、強じん性向上事業により整備した機器等により無害化が行われているか確認したところ、メール本文を無害化することなく転送しているのが4市区町村等となっていた。また、添付ファイル等の転送又は収受における無害化の状況についてみると、無害化を行うことなく転送又は収受しているのが49市区町村等となっていた(2016_3_2_2_3リンク参照)。
上記の222市区町村について、LGWAN接続系とインターネット接続系の分割前後におけるLGWAN接続系に配置された端末等への更新プログラム等の適用状況を確認したところ、LGWAN接続系とインターネット接続系の分割後である30年5月末時点において、更新プログラムを適用していないのが、分割前の26市区町村から54市区町村へ、更新データを適用していないのが、分割前の9市区町村から14市区町村へと増加していた。そして、これら54市区町村及び14市区町村の分割前における更新プログラム等の適用頻度についてみると、それぞれ29市区町村及び9市区町村は、分割前には1か月以内の頻度で適用していたのに、分割後に適用を行わなくなっていた(2016_3_2_2_4リンク参照)。
18都道府県が構築した自治体情報セキュリティクラウドへの接続状況をみたところ、会計実地検査時点において、237地方公共団体が自治体情報セキュリティクラウドに接続していた。自治体情報セキュリティクラウドに接続していない4地方公共団体のうち2地方公共団体は、近隣市区町村が別途構築したセキュリティクラウドに接続して共同利用しており、他の2地方公共団体は、31年3月末現在において、自治体情報セキュリティクラウドに接続している(2016_3_2_3_1リンク参照)。
18都道府県が構築した自治体情報セキュリティクラウドについて、監視対象機器等の集約化のための設備の整備状況をみたところ、外部DNSサーバについては1都道府県、LGWAN接続ファイアウォールのログについては8都道府県が、それぞれ集約化のための設備を整備していないなどして、監視対象から除かれていた。また、上記の自治体情報セキュリティクラウドに接続している237地方公共団体について、自治体情報セキュリティクラウドにおける集約及び監視状況をみたところ、Webサーバについては26地方公共団体、外部DNSサーバについては44地方公共団体、LGWAN接続ファイアウォールのログについては116地方公共団体において、集約化のための設備が自治体情報セキュリティクラウドに整備されていないなどしていて、集約及び監視が行われていなかった。そして、各地方公共団体において別途管理されている機器等についての監視の状況をみたところ、「情報セキュリティ専門人材による監視・分析を行っていない」とするのがWebサーバについては6地方公共団体、外部DNSサーバについては11地方公共団体、LGWAN接続ファイウォールのログについては63地方公共団体等となっていた(2016_3_2_3_2リンク参照)。
上記の237地方公共団体について、不正な通信を行っている端末等のIPアドレス等の特定や遮断等の対応が可能かをみたところ、190地方公共団体は端末の特定等の対応の一部又は全部に事業者等の「他の組織の支援等を必要とする要素あり」としていて、このうち 70地方公共団体は「全ての端末等について自治体情報セキュリティクラウド側で特定が可能」としているものの、残りの120地方公共団体は、接続している地方公共団体側で端末特定に係る作業を要する状況となっていた。そして、このうち77地方公共団体は「端末等を特定するために事業者等の支援等が必要」としているが、このうち11地方公共団体は支援等を行う事業者等との間で役割の確認を行っていなかったり、役割の確認を踏まえた内容で契約を締結していなかったり、必要な内容で契約が締結されているかの確認を行っていなかったりしていた。
さらに、上記190地方公共団体のうち160地方公共団体は自らにおいてネットワーク遮断を実施することがあるとしていて、このうち129地方公共団体は遮断を実施するために事業者等の支援等を必要としている。しかし、このうち23地方公共団体は支援等に係る役割の確認及びそれを踏まえた契約の締結等を行っていなかった。
インシデント発生時に自治体情報セキュリティクラウドが実施するネットワーク遮断について、遮断の判断主体をみたところ、ネットワークの遮断を判断する際に、接続している地方公共団体側において遮断を判断することとしている12都道府県の自治体情報セキュリティクラウドに接続する160地方公共団体のうち76地方公共団体及び判断主体が決まっていない1都道府県の自治体情報セキュリティクラウドに接続する7地方公共団体のうち5地方公共団体は、遮断の判断に至る手順を策定していないなどしていた(2016_3_2_3_3リンク参照)。
241地方公共団体について、対策基準の策定及び強じん化を踏まえた改定等の取組の状況をみたところ、対策基準を策定していなかったものは3地方公共団体、強じん化を踏まえた規定がないとしているのが178地方公共団体となっていた。そして、30年11月末時点の対策基準の改定の予定については、178地方公共団体のうち40地方公共団体が未定としていた(2016_3_2_4_1リンク参照)。
241地方公共団体のインシデント発生時における対応体制の整備等の状況をみたところ、CSIRTを設置していたのは130地方公共団体(241地方公共団体に占める割合53.9%)となっていて、このうち16地方公共団体では、CSIRTの要員及び機能について文書化していなかったり、37地方公共団体では緊急時対応計画を策定していなかったり、49地方公共団体ではインシデント発生時に国及び庁内CISO等へ一斉同報する連絡ルートを構築していなかったりしていた。
緊急時対応計画における標的型攻撃に対応する内容の規定の整備状況及び緊急時対応訓練の実施状況をみたところ、緊急時対応計画において標的型攻撃に対応した内容を規定しているとしたのは66地方公共団体(同27.3%)、緊急時対応訓練を実施したのは54地方公共団体(同22.4%)、いずれも実施していたのは28地方公共団体(同11.6%)にとどまっていた(2016_3_2_4_2リンク参照)。
27年9月から30年5月までの2年9か月に、支援PFに登録されたインシデント関連掲示板機能については、情報の総登録件数は45件となっていた。Q&A機能については、問合せの総登録件数は32件で、29年2月以降は3件にとどまっていた。ワーキンググループ機能については、情報の総登録件数は、3件掲載されたのみとなっていて、27年11月以降は情報の登録はなかった。その他関連情報機能については、情報の総登録件数は41件で、29年6月以降は情報の登録はなかった。自治体の掲示板機能については、当該機能が追加された28年3月以降、質問の投稿が全くなかった。また、支援PFの利用等の状況について、支援PFにアクセスした個別のユーザーの月ごとの数を確認したところ、28年11月以降は毎月100ユーザー未満にとどまっていた(2016_3_3_1リンク参照)。
241地方公共団体に支援PFの利用状況を確認したところ、 68地方公共団体は、会計実地検査の時点まで「支援PFの存在を知らなかった」としており、全く利用していなかった。また、「支援PFの存在を知っていた」とする173地方公共団体の利用状況を確認したところ、「ほとんど利用していない(利用頻度が3か月に1回程度未満)」とするものが49地方公共団体(241地方公共団体に占める割合20.3%)、「ログインが初回実績のみ」とするものが37地方公共団体(同15.3%)、「全く利用したことがない」とするものが74地方公共団体(同30.7%)となっていた(2016_3_3_2リンク参照)。
基本法において、国は、サイバーセキュリティに対する脅威の深刻化等に伴い、サイバーセキュリティの確保に関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。
また、マイナンバー制度の施行に伴い、国と地方公共団体等の各機関の特定個人情報等を取り扱う情報システムが相互に接続されたことで、マイナンバー利用事務を行う地方公共団体の情報セキュリティ対策は、公的機関全体にとってますます重要な課題となっており、政府としても必要な支援を実施していくことになっている。
ついては、総務省において、地方公共団体における情報セキュリティ対策について、今後、次の点に留意して取り組んでいく必要がある。
(ア) マイナンバー利用端末への二要素認証等の導入について、二要素認証等の導入状況を十分に把握するとともに、マイナンバー利用端末の二要素認証等の運用について、補助事業実施後の状況を十分に把握した上で、望ましくない運用方法を具体的に示すなどして、特定個人情報の情報漏えいなどのリスクがより低減されるよう、地方公共団体に対して助言を行うこと
(イ) マイナンバー利用事務系と他の領域との分離及びLGWAN接続系とインターネット接続系との分割について、分離及び分割後に行われる場合がある領域間通信において、本来意図しない通信やマイナンバー利用事務系等へのコンピュータウイルスの感染を防止するための方策を改めて明示するなどして、特定個人情報の情報漏えいなどのリスクがより低減されるよう、地方公共団体に対して助言を行うこと
(ウ) 自治体情報セキュリティクラウドによる高度なセキュリティ対策について、補助事業実施後の状況を十分把握した上で、監視・分析の必要な機器等が都道府県にできる限り集約されるなどして専門人材による監視・分析が行われるよう、また、自治体情報セキュリティクラウドに接続する地方公共団体に対して、そのネットワーク遮断等を支援する事業者等と役割の確認をすることの必要性を明示するなどして、インシデント発生時に適切にネットワークを遮断することなどができるよう、必要に応じて地方公共団体に対して助言を行うこと
(エ) 補助事業で強化された情報セキュリティ対策の実効性を確保するために、強じん化を踏まえた対策基準の見直しや、インシデント発生時の体制整備等に係る緊急時対応計画の策定、連絡体制の構築等について、必要に応じて地方公共団体に対して助言を行うこと
支援PFが地方公共団体における情報セキュリティ対策向上に寄与するよう、支援PFの機能及び利活用の方法等について地方公共団体へ重ねて周知するとともに、支援の需要を把握して、支援PFが提供する情報や機能の見直しなどについて検討すること
会計検査院としては、サイバーセキュリティに対する脅威が深刻化する中で、マイナンバー制度において情報連携が行われている情報システムの情報セキュリティ対策の実施状況等について、今後とも引き続き注視していくこととする。