SAAJ近畿支部第199回定例研究会報告 (報告者:荒町弘)

会員番号 1709 荒町弘(近畿支部)

1.テーマ 「自治体における「システム所管」の違いとネットワーク・セキュリティにおける現状と今後について」
2.講師    一般社団法人日本管理者支援機構 代表理事 藪上 憲二氏
3.開催日時  2023年3月17日(金) 18:30~20:30
4.開催場所  ドーンセンター(大阪府立男女共同参画・青少年センター)5階セミナー室2
5.講演概要

講師の過去の勤務経験なども参考としつつ、官公庁や県・市町村における組織の概要とそれぞれの組織における情報システムの所管や運用管理における実情などを詳しく解説頂いた。自治体におけるネットワーク分離の方法によっては外部監査が必須となることや、教育分野においては教育情報セキュリティポリシー未策定の団体も存在することなどから、我々システム監査人の活躍の場が増える可能性が高いことを示唆いただいた。

(1)官公庁の組織について

・国、県(都道府県)、市町村の組織と特徴について解説。
・国のシステムは統一されておらず殆どは省庁の数だけシステムが存在し、個別に運用されている。
・都道府県や市町村は知事部局と行政委員会(教育・(警察))毎にシステムを調達している。
・DXという名称を冠した部署が増えつつあるものの、内容はともなっているケースは少なく、従来からシステム運用管理してきた部門は情報インフラを支えているのが実情。
・教育委員会はシステム管理部門が無いケースが多く人事異動も考えると。首庁部局の情報システム部門と比べて人的な質・量ともに課題を抱えるのが実情である。

(2)首長部局における情報システム部門とネットワーク、セキュリティについて

自治体の業務は大きく「基幹系業務」「情報系業務」「その他業務」に分けて考えることができ、基幹系は「個人番号利用事務系」に属する業務であり、情報系はLGWAN接続系・インターネット接続系に属する業務である。その他業務は、主に情報セキュリティや自治体DX・統計関連業務ということで団体毎に温度差がある。
平成27年度のネットワーク強靭化が行われる以前は情報系業務ネットワークにてインターネット接続利用が可能な団体が多かった。端末をLGWAN接続系に配置し、インターネット接続を分離するモデル(αモデル)を採用したネットワーク強靭化は、インターネット利用業務に大きな影響を与え、業務効率の低下を招くこととなった。
業務効率の低下となった代表的な利用形態として、メールの添付ファイルが分離され、メール本文とは別にインターネット系から無害化して取り込むこととなったのが挙げられる。また、インターネットを閲覧するためには仮想デスクトップ経由での接続となり、アクセス集中時にはサーバーの負荷高騰によりレスポンスが低下するという事象があった団体も多いと考える。最近は、コンテナ型仮想デスクトップ環境の採用も増えてきておりレスポンスの面では改善されてきている。
自治体のインターネット接続は、都道府県が運用する自治体情報セキュリティクラウド経由となっている。自治体情報セキュリティクラウドでは、ネットワークの監視やセキュリティ専門人材によるプロキシーログの解析等、自治体独自では対応が困難な技術的サポートを担う機能が県により実装されているため、自治体はインシデント対応等における技術的支援が県から受けられるようになった。
ネットワーク強靭化後は、コロナ禍での業務運用を余儀なくされるようになるなど、自治体ではテレワーク等を併用した業務遂行が必要となった。総務省もユーザービリティへの配慮や新たな時代の要請への対応を踏まえて、自治体情報セキュリティポリシーガイドラインの改訂を進めてきている。
このような環境変化への対応を柔軟に行うために、端末がインターネットに容易に接続可能なβモデル、β´モデルという運用形態への移行を検討する自治体も増えつつある。βやβ´モデルを採用する場合は外部監査が必要となる(自治体情報セキュリティポリシーガイドライン)。
自治体のシステム監査について現状を参照すると、都道府県はほぼ半々で内部監査のみと内部及び外部監査の併用を行っており、市町村(1,718)では内部監査のみが735(42.8%)、外部監査のみが87(5.1%)、内部及び外部監査が141(8.2%)であり、残る755団体(43.9%)は自己点検のみか、自己点検すら実施していない。

(3)教育委員会事務局の情報化部門とネットワーク、セキュリティについて

教育委員会はそれ自体が独立しており、予算編成の最終的な権限は首長にあるが、人事は自身で行う等、「ミニ市役所」というイメージがある。しかし、首長部局と異なり、情報システム部門を持たないケースはが殆どである。教育委員会として、扱うシステムの数自体は首長部局と比べて少ない(教育に特化しいるため)が、扱う端末の台数やアカウントは圧倒的に多く職員数こそ首長部局とあまり変わらない部分もあるが、職員の10倍以上の児童生徒がおり、その端末とアカウントの管理もあるため、マンパワーでが足りていない(GIGAスクール構想以降)。
教育委員会のネットワーク形態について少し触れると、個人情報を取り扱う「校務系」と「学習系」の2つのネットワークで構成される。更に、校務系からインターネット接続系を分離した「校務外部接続系」というネットワークもあるが普及率は多くないようである。
そもそも首長部局と教育委員会のネットワークにおける大きな違いは、自治体情報セキュリティクラウドを介したインターネット接続ができるのは首長部局だけであるということである。
教育分野ではGIGAスクール構想以降、一人1台のタブレット利用、在宅学習対応、デジタル教材の利用など、クラウドバイデフォルトの状態になりつつある中、ネットワークを分離する部分もあるが、基本的にゼロトラストの考え方を取り入れ認証の強化へ舵を切った。文部科学省は令和4年3月に「教育情報セキュリティポリシーに関するガイドラインハンドブック」を示した。令和6年度にはデジタル教科書の本格導入も検討されており、SINET(学術情報ネットワーク)への接続も視野に入っている。
教育委員会側のセキュリティポリシーは、首長部局と文部科学省のガイドラインに準じる。実際には、対策基準部分が文部科学省のガイドラインに準拠する。「教育情報セキュリティポリシー」の策定状況については、「独自に作成」が2/3、「自治体のセキュリティポリシーをそのまま利用」が1/4、「未策定または検討中」が7%あるのが実情である。インシデント対応においては、基本的な対応は首長部局と同様となるが、そもそも情報システム部門を持たない団体が多い教育委員会としては、このあたりの運用は課題を抱えていると考えられる。
教育委員会の監査については、毎年、学校を指導する担当の課による「学校訪問」という形で行わるのが多い。内容は会計処理、事務処理、教育内容について等である。個別の校務支援システム等については、首長部局の情報システム部門の内部監査を受けることがある。
監査の実施率などは公表(というよりも集計自体)しておらず、ガイドラインに監査の項目はあるものの、情報セキュリティ監査を実施しているところは圧倒的に少ないと見込まれる。

(4)まとめ

自治体、教育委員会の情報システム部門についてお伝えしてきたがこれは氷山の一角でしかない。
水面下では、以下のような状況がある。
・そもそもセキュリティポリシーが未策定
・ポリシーがあっても適切な改訂がなされていない、適切な運用がされていない
・調達についても、知識不足から適切な調達がされていない
・ネットワークやシステムの運用について、不十分な点が多々ある
・システムの自己点検すら行われていないこともあり、外部監査を受けているのはごくわずか
・・・などなど、まだまだ未対応な問題が多く、我々システム監査人にとって活躍できるフィールドは埋もれている。
今後のトレンドとして以下のようなことが想定されてる。
◎個人情報保護法の施行(地方自治体では令和5年4月1日
◎今後、特定個人情報等利用システムにおける外部監査が増える可能性
◎自治体のネットワーク分離手法の変化による外部監査の義務化
◎βモデル、 β´モデルは外部監査が必須となり、外部監査に係る入札の実施も増えてきている
◎DXが叫ばれる中、導入するシステム等本来の目的に合ったものなのか、今後真価が問われる
◎適切な評価を実施するため、監査人が必要とされる部分も
◎自治体は主に監査部門では事務監査のみ実施されてきたが、民間企業においてもシステム監査が増える中、監査部門から外部監査の依頼が増加する見込みも。
◎外部監査人の会計士がシステム監査の必要性を助言する場合も。
最後に、「本来の目的に沿ったシステム」が「効率よく、安全に利用され」「結果的に市民サービスの向上につながる」ように今後もシステム監査の普及・啓発とサービスの実施・向上に努めていきましょう、とエールを送って頂いた。

6.所感

講師自身が経験してきた実務も含めて幅広いお話をいただき大変参考になりました。
特に国や都道府県、市町村といった組織の体系や、そこで運用されている情報システムについて整理して考える機会が無かったため、非常に理解が深まりました。情報システム部門が組織の全てを跨って統括しているケースが少ないという実情から考えて、講演の中でも触れられた「システム監査人の活躍の場」多くあるものと考えます。
基礎自治体の多くの団体は、平成27年度より導入されたネットワーク強靭化により三層分離のネットワーク構成において端末の運用形態をαモデルで運用している団体が多くあり、このシステムも更新の時期を迎えています。通常の業務実施におけるテレワーク併用も定着してきていることもあり、更なる業務効率化に向け端末の運用形態をβモデル、β’モデルへと変更していく考えの団体も増えつつあります。総務省の示すネットワークセキュリティガイドラインに記載のある「外部監査の実施」についても増えることとなることが想定される中、システム監査人の活躍が期待されます。

以上