データセキュリティ考察 - 地方自治体の視点で

地方自治体では、サイバーセキュリティの重要性に対する意識が急激に高まっています。

国家最高情報責任者協会と全米知事協会によって共同執筆された State and Local Cybersecurity Collaboration レポートは、事態がかなり深刻であることを指摘しています。 このレポートは、米国で公表されたランサムウェア攻撃の過半数が地方自治体をターゲットにしていると述べています。2019年8月のテキサス州サイバー攻撃、ルイジアナ州の公立学校への攻撃、ボルチモア市へのランサムウェア攻撃など、広く知られた攻撃もありますが、ほとんどの事件はあまり報道されていません。

新型コロナウイルスのパンデミックによる経済打撃で絶望的な状態にある人々に対して、国や地方自治体から可能な限りの公的援助を行う必要があります。困窮した人たちは公的援助を得られる手段を懸命に探し回りますが、国や地方自治体からも、積極的にわかりやすい丁寧な説明を行う必要があります。地方自治体では、ITインフラストラクチャの機能をさらに拡張し、一般市民が在宅勤務の職員と安全にオンラインでやり取りできるような試みも行っています。ハッカーたちは、このような住宅からのネットワークトラフィックの急増を絶好の機会と捉え、ホームネットワークに強力なセキュリティ対策を講じていない職員やその家族を狙おうとします。

サイバー犯罪者の格好のターゲット

地方自治体のITインフラストラクチャは、長い間ハッカーからターゲットにされてきましたが、その主な理由は、次の２つです。まず、ITインフラストラクチャに、サイバー犯罪者が盗んで悪用できる一般市民に関する貴重な個人情報が大量に保存されているからです。そして、地方自治体のITインフラストラクチャは十分に保護されていない場合が多いという悲しい現実があります。侵害するのが簡単なデータは、サイバー犯罪者にとっては渡りに船のようなものです。

地方自治体が住民にサービスを提供するときには必ず必要になるので、住民の個人情報をITインフラストラクチャに保存する必要性がなくなることは決してありません。弱いセキュリティ体制は少なくとも強化する必要があります。ところが、地方自治体の予算は、より緊急性が高い一般市民へのサービスに重点的に振り分けられ、IT関連部門はないがしろにされがちで、なかなか予算がまわってきません。必要なテクノロジー、プロセス、専門知識、リソースに投入する予算が不足して、セキュリティ強化まで手が回らないのが実情です。

そのため、地方自治体のITインフラストラクチャは、今日の高度なサイバー攻撃に対抗できない古いテクノロジーで動作している状況から抜け出せません。場合によっては、システムがサポート終了になり、ベンダーがセキュリティパッチを発行しなくなることもあります。結果的に、地方自治体のハードウェアやソフトウェアシステムが、サイバー攻撃に対して脆弱なまま取り残されることになります。

低コストで可能なセキュリティ強化のためのヒント

地方自治体のIT部門を含め、予算に余裕のないIT部門は、セキュリティ対策にもできる限り低コストの手段を検討しなければなりません。以下に、比較的低コストで実現できるセキュリティ強化のための方策を列挙します。

1. 責任者の指名 — 1人または複数のサイバーセキュリティの責任者を決めます。責任者は、対処しなければならないことを明確化し、予算とリソースの配分を決定します。制限が多く予算が限られているとしても、少なくとも、持っているリソースを最大限に活用することを常に考えている人がいるということは重要です。
2. インベントリ作成と文書化 — ITセキュリティの問題に対処する場合、すべてのハードウェアとソフトウェアのインベントリを作成することが必要になります。その上で、発生したセキュリティ侵害インシデントを文書化すると、パターンがわかってどのように対処すればいいのかが明瞭になるなる場合があります。
3. シンプル化 — ITインフラストラクチャが複雑になると、それだけ防御が難しくなります。環境をシンプルなものにできれば、より強力なセキュリティ体制を構築でき、進化した新しいサイバー攻撃の手法に対しても対処がしやすくなります。シンプル化によってコストを低く抑えられる可能性もあり、その分をセキュリティ強化に振り分けられるかもしれません。
4. IT部門同士のコミュニケーション — 他の地方自治体のIT部門との間で、情報交換し合えるようなネットワークがあると、似たような問題にどう対応して、何がうまくいき、何がよくなかったのか、など、お互いに有益な多くの知識を共有できます。例えば、数人で毎月バーチャル円卓会議を開くといったことも考えられます。
5. 一般職員とのコミュニケーション — 実業務を行う一般職員であるエンドユーザーは、ネットワークで何が起きているかを見ているので、しっかり情報をもらえればリスクを特定するのに役立つ場合があります。また、エンドユーザーは、悪意のあるリンクや添付ファイルのクリックなど、サイバー攻撃への入り口になり得ます。円滑なコミュニケーションを通して情報を共有し、どういったことはするべきでないというトレーニングを行うことも、セキュリティ強化に結びつきます。
6. ベストプラクティスの借用 — セキュリティ対策のベストプラクティスについては、NIST をはじめとして、多くの情報がオンラインで無料で提供されています。サードパーティーのパートナーは、提携する組織のITエコシステムに強力なセキュリティ体制を維持してもらいたいので、自分たちが使用するポリシーとプロセスをエミュレートすることを許可する場合もあります。 

ファイルを保護するための便利なツール

地方自治体がセキュリティ強化のために使用できるツールとしては、プログレスのマネージド・ファイル・トランスファー（MFT）ソリューション、MOVEit があります。MOVEit は、転送中および保存中のファイルを保護し、中核となる業務プロセスをより確実に管理し、コンプライアンス規制に準拠した保護された機密データ転送を行うために、世界中の多くの組織で使用されています。MOVEit を使うことで、IT部門は、ITインフラストラクチャのファイル転送アクティビティを完全に可視性でき、コントロールすることができます。セキュリティ向上、コンプライアンス徹底、ガバナンス強化を検討している場合は、MOVEit の無料試用版をダウンロードして試してみることをお勧めします。