自治体の｢セキュリティ対策｣でやりがちなミス ｢総務省ガイドライン｣改定のインパクトは？

この改定を機に、データ消去という観点が注目されるようになった。対策として、フォーマット実行後にHDD全体をランダムな文字列などで上書きするツールは多く存在しているものの、作業に相当の時間を要する。データ消去の専門業者に依頼するとしても、PC1台あたり数千円の費用がかかる。そのため、この適切な処理をリース満了時にすべてのPCに適用できるかどうかといえば、難しい。

一方、HDDの物理破壊がデータ消去の強力な手段として示されていることも多いが、リース物品に対してHDDとはいえ破壊して返却することはできない問題もある。しかしこうした中でも、横須賀市のように世界標準のデータ抹消処理を実現するなどレベルの高い取り組みを行う自治体も出てきている。

｢クラウド環境における情報資産｣への意識

また同ガイドラインは、過去に先述した日本年金機構の事案を受けて、セキュリティ強化の三層分離の対策が反映されたが、2020年の改定で見直しが入った。

三層分離とは、業務の用途ごとに、「マイナンバー利用事務系として厳格なセキュリティ対策が施されたネットワーク」「LGWAN（Local Government Wide Area Network）接続系として、政府と自治体を接続する機密性の高い情報を扱う行政専用のネットワーク」「インターネット接続系としてウェブやメールなどの一般業務ネットワーク」、これら3つに分けてセキュリティ強化を図ったモデルである。

しかし、昨今の計算機を取り巻く環境がクラウドに移行する中、利便性とセキュリティの両面を意識する必要に迫られてきたこともあり、従来のように閉域化することだけが自治体セキュリティの基本というわけにもいかなくなったため、オンライン化に対応した見直しが行われたのだ。

まさに、自治体のクラウド環境における情報資産の考え方が浸透し始めた転換期と言えよう。今までは情報の維持・管理ばかりが注目されがちであったのに対し、情報そのもののライフサイクルを意識していこうという機運が高まったのである。

今後はクラウド利用におけるデータ消去に対しても、例えばクラウド事業者の第三者認証や監査報告書、データ消去を示した根拠となりうる廃棄証明書を用いた確認も重要になるはずである。

2022年、長野県塩尻市では総務省のガイドラインに準じたHDD消去手順の検証を行い、物理破壊ではなくソフトウェア消去によって第三者機関が復旧不可能であることを証明した。翌年には、自治体システムの標準化およびガバメントクラウドへの移行を意識した検証も実施。クラウド上に暗号化して保存した住民の個人情報データに対して、暗号鍵を消去することでデータ復元が不可となることを実証したのである。

仕組み導入は単なるスタート、重要なのは｢人｣