都道府県CIOフォーラム第17回年次総会の様子。島根県松江市の「ホテル一畑」で開催した。
(写真:伊東 昌信、以下同じ)

都道府県CIOフォーラムは、第17回年次総会を2019年8月26日・27日の2日間、島根県松江市で開催した。初日は、自治体情報セキュリティクラウドの更新について、総務省のセキュリティアドバイザーを交え意見を交換した。2日目は、働き方改革の具体策を議論。午前中はRPA(ロボットによる事務効率化)とAI-OCR(人工知能機能付き光学式文字認識)の活用ノウハウについて、午後はデジタル手続法の施行をにらんだペーパーレス化について、意見を交わした。

都道府県CIOフォーラムとは

都道府県および関係団体のCIO(情報化統括責任者)または情報化推進担当責任者で構成する任意団体。相互の情報共有や民間IT企業も含めた意見交換を通じて、IT施策の推進に寄与することを目的に2003年8月26日に設立された。基礎自治体にもオブザーバー参加を呼びかけており、今回は仙台市、横浜市、大阪市、神戸市、岡山市、福岡市の6政令市と、島根県内から安来市と江津市が参加した。「日経BPガバメントテクノロジー」が事務局を務めている。

島根県の観光キャラクター「しまねっこ」もフォーラム参加者を歓迎

ディスカッション1 全国版セキュリティクラウドは現実解か

 初日は、大半の都道府県が2021年度中に更改を迎える自治体情報セキュリティクラウドの更新方法を議論した。初めに総務省の三輪信雄最高情報セキュリティアドバイザーが現状を解説。同氏は自治体のセキュリティ施策を所管する自治行政局地域政策課地域情報政策室と密接に連携して活動している。

 「次期セキュリティクラウドは、現行の都道府県単位の枠組みを外すことも視野に入っている。複数団体での共同利用、パブリッククラウドや民間クラウドの利用も考慮に入れ、全国一律にしたほうがいいのではという意見もある。ただ、今すぐ仕様が決定する状況ではない」(三輪氏)。

三輪 信雄氏
総務省 最高情報セキュリティアドバイザー(S&J代表取締役)

 セキュリティと利便性のバランスについては、「現在はゲートウエイでの防御を基本に非常に堅ろうに構築されている。一方で利便性は低下し、ファイルの移動や持ち込みに手間がかかる。今後パブリッククラウドの利用やテレワークを実施するなら、誰がどこにアクセスしてどのファイルを開いたかを監視するなど、エンドポイントにセキュリティの力点を移す必要がある」と述べた。

補助金なしなら全国版に支持

 次期セキュリティクラウドの望ましい形態を尋ねた事前アンケートでは、国による補助金が前回並み(総額155億円)の場合は、現行の都道府県単位での構築・運用への支持が17団体と最多。次いで国の要件を満たした民間サービスから選んで利用が14団体、国による全国共通サービスが5団体、複数の都道府県による共同構築・運用が4団体だった。一方、補助金が大幅に減額される場合は、国による全国共通サービスが17団体、民間サービスが15団体、現行形態が4団体、共同構築が3団体と、順位が入れ替わった。

 補助金が大幅に減額されても現行と同じ都道府県単位での構築を望む京都府政策企画部の原田智情報政策統括監(CIO兼CISO)は、2018年の大阪北部地震で顕在化したネットワーク事情が理由だと説明した。「メーンの光ファイバーは、奈良県内を通っていったん大阪へ入ってから京都に戻ってくる構造。地震で大きな影響を受けた地域の道路の下を通る。もし全国規模に拡大されてファイアウォールなどの設備が他府県に置かれると、災害時に府内に影響が出かねない。少なくとも基幹設備は府内に置くべきと考えている」。

 香川県政策部情報政策課の北村卓司専門監(情報)は「SaaS注1)型のサービス提供契約を結んでおり、次回もそのまま更新する方針。運用費は全国最安水準なので、別形態だと費用増につながる」と説明した。

注1)SaaS
Software as a Serviceの略。
北村 卓司氏
香川県 政策部 情報政策課 専門監(情報)

 他自治体からも意見が続いた。宮城県震災復興・企画部情報政策課の水戸信吾情報システム専門監は、「国が提供する全国共通サービスを希望する。セキュリティクラウドの趣旨を考えると、全国どこでも同じサービスの提供を受けられるのが一番。ただ、現実には専用線接続が必要で、遠隔地ほどLGWAN注2)利用コストが高額になるなどの課題がある」と述べた。これに対し三輪氏は、「専用線だけでなく、インターネットVPN注3)などの割安な接続手段も検討してほしい」と助言した。

注2)LGWAN
総合行政ネットワーク。自治体間の専用ネットワーク。
注3)インターネットVPN
暗号通信などを用いてインターネット上に構築したVPN(仮想閉域網)。

 宮崎県総合政策部情報政策課の喜多福一主査からは、「(全国共通あるいは複数団体の共同化にするなら)国などで共通仕様書を作成してほしい。手戻りが減らせる」との意見が出た。東京都戦略政策情報推進本部ICT推進部の清水詳士サイバーセキュリティ担当課長は、「複数の都道府県で共同構築するなら、役割分担を明確にしておかないと費用分担の際に困る。市区町村も含めた役割分担が必要だ」と見解を述べた。

CSIRTやSOCの重要性が高まる

 続いてセキュリティ管理体制の視点から三輪氏は、「インシデントはゲートウエイで起きるわけではない。末端のPCが感染し、それがサーバーまで拡大するなど、クラウドではなく現場で起こる。CSIRT注4)などの組織体制をしっかり整える必要がある」と指摘した。

注4)CSIRT
Computer Security Incident Response Teamの略。

 神奈川県の市原敬ICT推進部長は、「現状はセキュリティレベルに都道府県ごとの差異があるのが問題。仕様が示され、オプションも選択できる民間クラウドサービスを、各自治体が利用するのがいい。クラウドなので都道府県単位である必要もない」と述べた。

 CSIRTについては、「全員が自治体職員である必要はない。事業者のSOC注5)が自治体と連携すれば、かなりの部分はサポートされる」とした。県と市町村が異なるサービスを利用しても問題はないかとの質問には、「インシデント発生時は、当該団体が総務省と県に報告する決まりだ。市町村が県と別のセキュリティクラウドを利用しても、セキュリティ水準が保たれるならノーとは言えないだろう」(市原氏)と答えた。

注5)SOC
Security Operation Centerの略。

 都道府県CIOフォーラム会長を務める島根県地域振興部情報政策課の山口悟CIO補佐官は、「市町村での自由度向上は、情報担当が1~2人しかいない団体もある当県には荷が重い。市町村のレベルを合わせる意味でも、県がまとめるのがいい」と事情を説明した。続いて山口氏は「クラウドではSOCの役割が非常に重要。共同化が進む、あるいは全国一律になると、どこまで面倒を見てくれるのか、あるいはどの範囲まで仕様に定めればいいか」と尋ねた。

山口 悟氏
島根県 地域振興部 情報政策課 CIO補佐官

 SaaS形式でセキュリティサービスを利用中の香川県は、「契約はSaaS形態だが、実は契約先企業が新たにサーバーなどを購入して専用サービスを立ち上げた。したがって、他の団体と同様のSOC体制だと思う」(北村氏)と答えた。

 神奈川県は「SOCも含めた形の契約・仕様になっている。クラウドの中の問題なら、SOCが適切な操作を行い、復旧の連絡を加盟自治体に返している。県職員の負担はかなり軽減できた」(市原氏)という。

安全と利便のバランスを再考へ

 山口県からは、セキュリティクラウドの更改に合わせた庁内強じん化の見直しの必要性に関連して、Windowsのセキュリティ更新や大型アップデートで負担が増えているとの意見が出た。「自動の一斉更新だと時間がかかるので、一部を手動に切り替えた。体制的にも見直しが必要と考えている」(総合企画部情報企画課調整班の山本高広主査)。

 京都府からも、「ネットワーク内でWSUS注6)からアップデートファイルを配信するのは、検証作業が非常に大変」(原田氏)と指摘があった。

注6)WSUS
Windows Server Update Servicesの略。

 埼玉県企画財政部の山口均参与は、「業務効率とセキュリティは二律背反でバランスが重要。今はセキュリティ強化に傾いているが、今後のクラウド活用やテレワークを考えた場合に、効率性にも目配りするべきといった内容の指針を、総務省からぜひ示してほしい」と要望した。

 三輪氏は最後に、「テレワークが普及すれば、現在のマイナンバー系事務だけを切り離す構成は続けられない。外出先や自宅で仕事する職員の利便性を高めたり、災害時に情報を利用したりするなら、どこまでリスクを取るかを決める必要がある。前向きにセキュリティに取り組む時代が来た」と締めくくった。