自治体セキュリティの新モデルとセキュリティ対策の課題

現在各自治体で行われている情報セキュリティ対策は、日本年金機構のセキュリティ事故やマイナンバー制度導入に伴い2015年より導入された「三層の対策」、つまり自治体内部のネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3層に分割するセキュリティモデルがベースになっています。このモデルは現在「αモデル」と呼ばれており、セキュリティ対策強化に一定の効果を発揮しましたが、その一方で近年ではその課題も浮き彫りになってきています。

三層の対策を実施することでインシデント数は激減しましたが、事務効率が低下してしまったり、コロナ禍に伴うテレワーク実施においてWeb会議やコミュニケーションツールの利用に制限が掛かるなど、さまざまな課題も露呈してきました。また現在国が主導して進めている『行政システムのクラウド移行』『行政手続きのデジタル化』に対応する上でも、三層の対策は課題が多いと言えます。そのため、総務省を中心に新たな自治体情報セキュリティ対策の在り方を検討する動きが進んでいます。

この見直しに至る背景には、近年高度化・巧妙化の一途を辿るサイバー攻撃の動向もあります。これまで各自治体で実施してきた境界線防御による侵入防止策だけでは、近年の高度なサイバー攻撃による侵入やマルウェア感染を100%防ぐのは困難になってきており、自治体情報セキュリティ対策にも侵入・感染を前提としたいわゆる「ゼロトラスト」の考え方を導入する必要性が出てきました。またこれに伴い、セキュリティインシデントをいち早く検知・対応できるEDRなどの仕組みを導入するとともに、CSIRTに代表されるインシデントレスポンスの体制をしっかり整備することも求められています。

自治体情報セキュリティ対策見直しの4つのポイント

なお総務省が2020年5月に公表した「自治体情報セキュリティ対策の見直しのポイント」では、見直しを進めるに当たり重視すべきポイントとして以下の4つが挙げられています。

■三層対策の見直し

三層の対策によりLGWAN接続系ネットワークとインターネット接続系ネットワークを物理的に分割したことで、確かにインシデントは激減しました。しかしその一方で、LGWAN系に接続した端末やシステムからインターネットに容易にアクセスできなくなったことで、前述のようなさまざまな不便が生じることになりました。

そこで現在、これまでLGWAN系に配置していた端末やシステムの一部をインターネット接続系に移管した「βモデル」「β’モデル」と呼ばれる新たなセキュリティモデルが提案されています。これによりパブリッククラウドの業務利用やテレワーク環境の整備が進めやすくなる半面、サイバー攻撃のリスクも高まるため、新たに対策を講じる必要性が出てきます。

なお、総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定案では、βモデルおよびβ’モデルで新たに必須となるセキュリティ対策が挙げられていますが、これらの多くにおいてEDR製品およびそれを使ったMDRサービス(マネージドセキュリティサービス(MSS))の導入が有効な解決策となり得ます。

■次期自治体情報セキュリティクラウドの見直し

「自治体情報セキュリティクラウド」とは、かつて市区町村ごとにばらばらに行われていたインターネット接続およびサイバーセキュリティ対策を都道府県単位で集約し、高度なセキュリティ対策を一元的に適用することでセキュリティ対策のレベル平準化を狙って導入されたものです。この自治体情報セキュリティクラウドの在り方についても、βモデル/β’モデルの導入に伴い見直しが進められています。

具体的には、総務省より公表されている「次期自治体情報セキュリティクラウド機能要件一覧」でそのセキュリティ要件が示されており、これまで実施してきた境界型の防御に加えて、侵入の早期発見・対応のためのさまざまな機能要件がより明確に打ち出されています。

これらの中には標準要件として「EDR監視/運用」も挙げられており、EDRが次期自治体情報セキュリティクラウドにおいて極めて重視されていることが明示されています。また他の幾つかの要件においても、EDRおよびそれを使ったMDRサービスの利用が望ましいことが明記されています。

■重大インシデントを踏まえた対策の強化

「自治体情報セキュリティ対策の見直しのポイント」では、昨今の重大インシデントの例として、リース満了に伴い返却したハードディスクの盗難による情報流出の事案と、地方公共団体向けクラウドサービスの障害発生の事案が挙げられています。

しかし昨今におけるサイバー攻撃の激化、特にEmotetランサムウェアなどの急激な被害拡大を鑑みると、地方自治体がこうしたサイバー攻撃のターゲットになるケースも今後当然増えることが予想されます。そのため、こうしたサイバー攻撃による侵入・感染を早期に検知してインシデントを未然に防ぐためにも、やはりEDRの導入が極めて有効だと考えられます。

■情報セキュリティ体制・インシデント即応体制の強化

同じく「自治体情報セキュリティ対策の見直しのポイント」の中では、「インシデント対応チーム(CSIRT)の設置および役割の明確化の推進」を着実に実施すべしと記されています。またあわせて、組織の情報セキュリティ施策を統括するCISO(Chief Information Security Officer:最高情報セキュリティ責任者)の責任についても定義しています。こうした責任を完遂する上でも、EDRの導入が極めて有効です。なぜなら、迅速なインシデント対応を行うためには、より多くの情報を幅広く収集し、早期検知・対応を行う必要があります。従って最も数が多く、しかも攻撃の対象となりやすい『職員が利用する端末』をすべて監視する「EDRによる監視/運用」が、責任遂行に最適なソリューションになると考えられます。

国が進めるその他のデジタル施策との関連性

なお総務省が主導するこれらの施策だけでなく、国が進める他の施策においてもやはり自治体情報セキュリティ対策の強化が求められています。例えば、現在、国が進めている「デジタル・ガバメント」もその1つです。

2020年3月に内閣官房IT総合戦略室が公表した「デジタル・ガバメント実現のためのグランドデザインについて」では、2030年の行政サービスのあるべき姿と、それを支える政府情報システムを整備するための方向性が示されています。そこでは、クラウドサービスを積極的に活用する「クラウド・バイ・デフォルト」をベースにした次世代アーキテクチャのイメージが提示されています。

具体的には「利便性を保ちながら、クラウド活用や働き方の多様化に対応するため、ネットワーク接続を前提に利用者やデバイスを正確に特定し、常に監視・確認する次世代のネットワークセキュリティ環境を構築」することの重要性を指摘しています。こうした国の方針に合致した情報セキュリティ対策を地方自治体が進めていく上では、現在さまざまあるセキュリティ製品・サービスの中でも、EDRが最も適していると考えられます。

また防衛調達庁では現在、米国のサイバーセキュリティ基準「NIST SP 800-171」に則り、自組織だけでなく取引関係のあるすべての企業を含むサプライチェーン全体のセキュリティ対策強化を進めています。NIST SP 800-171では境界型防御だけでなく、インシデントの検知・対応・復旧の施策も重視しており、やはりここにおいてもEDRやMDRサービスの必要性が示唆されていると言えます。

サイバーリーズンが提供するEDR製品「Cybereason EDR」

前述したように、セキュリティ対策にはマルウェアの侵入を防ぐための「特定・防御」の活動と、侵入を許してしまった後の「検知・対応・復旧」の活動があります。これまでエンドポイント対策の主流を占めてきたアンチウイルス製品は前者の「特定・防御」にほぼ特化していましたが、次期自治体情報セキュリティ対策では後者の「検知・対応・復旧」の対策強化が急務であるとされています。

サイバーリーズンが提供するEDR製品「Cybereason EDR」と、これを使った監視・分析作業をサイバーリーズン・ジャパンが代行する「MDRサービス」は、マルウェアが侵入・感染した後の検知・対策・復旧を強力に支援するソリューションとして、現在世界中の数多くの企業・組織によって利用されています。

Cybereason EDRがマルウェアを検知する仕組みは、次の通りです。まず監視対象となるPCやサーバーなどのエンドポイント端末に、「センサー」と呼ばれる専用のエージェントソフトウェアをインストールします。センサーは、端末上で動作するプロセスの詳細情報や通信情報などのデータを「メタデータ」としてリアルタイムに収集し、クラウド環境上で稼働する管理サーバーに定期的にアップロードします。

管理サーバー上では、集められた各端末のメタデータを脅威インテリジェンス情報と照合したり、相関分析を施すことで脅威をリアルタイムに検知してユーザーに通知するとともに、端末を論理的にネットワークから隔離したり、不審なプロセスを停止するといった一次対応作業を実行して被害拡大を抑止します。またMDRサービスを利用している場合は、サイバーリーズンのアナリストが復旧作業に必要な各種の情報提供を行います。

次期自治体情報セキュリティ対策におけるCybereason EDRの価値

これら検知・対応・復旧の一連の仕組みは、次期自治体情報セキュリティ対策において極めて有効に働きます。

具体的には、βモデルおよびβ’モデルにCybereason EDRを適用すれば、テレワーク端末やサーバーを含むすべてのエンドポイント端末にセンサーを導入し、24時間×365日の脅威検知・対応・復旧を支援できます。またLGWAN系への導入も、インターネット接続系のLANに専用プロキシを設置したり、サイバーリーズンの通信を特定の通信として取り扱うことで実現できます。

Cybereason EDRはクラウドサービスであるため、まずはリスクの高いインターネット系端末やテレワーク端末に導入し、その後段階的にLGWAN系などほかの端末へ展開していくスモールスタートにも柔軟に対応できます。さらには、現行の三層対策をベースにしたαモデルにおいても、Cybereason EDRを導入することで一定の効果が期待できます。

なお、αモデル、βモデル、β’モデルすべてにおいて、テレワーク端末へCybereason EDRを導入することで高い効果を発揮できます。

テレワーク環境では、それまで組織のLANの中にあった端末が管理者の手の届かないところに行ってしまうことで、端末がブラックボックス化したり、有事の際にインシデント対応が後手に回ってしまう恐れがあります。しかしCybereason EDRを導入すれば、端末がどこにあってもリアルタイムにクラウド上にメタデータがアップロードされ、現状を可視化できます。そして万が一インシデントが発生しても、遠隔から端末の隔離や脅威プロセスの停止といった封じ込め対処を実行できるようになります。

サイバーリーズンと他EDRベンダーとの違い

ちなみに現在では、セキュリティ対策製品市場においてCybereason EDR以外にもさまざまなEDR製品が提供されています。それらと比較した場合、サイバーリーズンの製品は、1.導入先の環境に与える影響を最小限に抑えられるほか、2.サイバーリーズンのセキュリティ専門アナリストによる高度な運用支援を提供できます。また、日本市場に対しても深くコミットしており、3.製品UIが完全に日本語に対応し、かつSOCも日本国内の拠点から日本語でサポートを行っているなど、この3点については競合他社を明らかにリードしているサイバーリーズン製品の強みと言えます。

Cybereason EDRのエージェントモジュールである「センサー」は、通常のセキュリティソフトウェアのように特権モードの「カーネルモード」で動作するのではなく、一般のアプリケーションと同じようにOSと切り離されたメモリ空間を利用する「ユーザーモード」で動作するため、万が一センサーに何らかの問題が生じた場合でもOSやほかのアプリケーションに影響を与えることはありません。また動作自体も極めて軽く、PCの動作が重くなるようなこともありません。さらには、クラウド上の管理サーバとやりとりするデータ量も極めて少ないため、ネットワークに与える影響も最小限で済みます。

なお、ここまで既に何度か言及してきたMDRサービスですが、外部のベンダーに業務を委託するのではなく、サイバーリーズンの日本拠点内にSOCを設け、ここで自社の専門アナリストが直接MDRの業務に従事しています。このような体制を日本国内で敷いているEDRベンダーは、今のところサイバーリーズン以外には存在しません。

さらには、日本のユーザーから寄せられた要望を製品仕様に数多く反映させたり、製品のUIも自然な日本語で分かりやすくローカライズされているなど、日本市場を極めて重視しているのも大きな特徴です。この点においても、多くの海外のベンダーの製品とは明らかに一線を画していると言えます。

既存ユーザーからの評価が高い各種運用支援サービス

サイバーリーズンが日本国内の数多くの企業・組織から支持されている最大の理由は、優れた製品や技術力もさることながら、そのサービス体制の充実度が高く評価されている点にあります。ただ単に製品を提供するだけでなく、製品の導入、運用、サポートに至るすべてのフェーズにおいてユーザーを強力にバックアップできるサービスメニューを用意しています。

例えば製品の導入フェーズにおいては、専任のテクニカルコンサルタントがアサインされ、ユーザーからヒアリングした内容に応じて利用環境を構築したり、導入作業中に生じた問題点の解決を支援したり、さらには製品の利用法をレクチャーするトレーニングを提供したりします。また運用を開始した後はカスタマー・サクセスの専任担当者がアサインされ、SOCから提供される月次レポートの報告を行ったり、製品のアップデート情報や最新のセキュリティ情報などをユーザーに提供することで、サイバーリーズンの製品・サービスをより効果的に利用できるよう支援します。

さらには、ここまでたびたび言及してきたMDRサービスでは、日本国内に設置したSOCにおいて、製品を使った脅威監視・解析の作業をユーザーに代わって行い、その結果を日本語による緊急対応や定期レポーティングでフィードバックします。

このほかにも、ユーザーごとに高度な教育やカスタマイズを行うプロフェッショナルサービスや、セキュリティ診断やアセスメントサービスなどのメニューも用意しています。こうした各種サービスを通じて、サイバーリーズンは日本全国の自治体に対して、次期自治体情報セキュリティ対策に準拠した強力なエンドポイントセキュリティソリューションを提供します。

自治体のお客様は普段、自治体情報セキュリティクラウドの提供・運用ベンダーや、SIパートナー企業にセキュリティ施策を委託されていると思いますが、サイバーリーズンはこうした企業やベンダーと連携してソリューションを提供できます。ぜひ今回の見直しを機にEDR製品を導入し、安全性と利便性を高いレベルで両立できる情報セキュリティ対策を実現していただければと思います。