【第1回】財団法人地方自治情報センター (LASDEC) ～　厳選された情報が全国の地方公共団体の現場で役立っている　～

本インタビューは、2012年1月26日に取材したものです。

　話し手：
　LASDEC自治体セキュリティ支援室 室長 平沼真一氏(右)と同 主任研究員 百瀬昌幸氏(左)

LASDECは、地方公共団体（以下、「地方団体」という。）のコンピュータ専門機関として創設され、地方団体のIT化に関する支援や教育サービスの提供のほか、住民基本台帳ネットワーク、LGWAN（総合行政ネットワーク）などの運営も行っています。情報セキュリティに関しては、地方団体向けに情報セキュリティ対策支援事業のほか、自治体セプター（CEPTOR：Capability for Engineering of Protection, Technical Operation, Analysis and Response）の事務局として、内閣官房情報セキュリティセンター（NISC）、総務省、セキュリティ関係機関等からの情報セキュリティに関する情報をLGWAN経由で都道府県・市区町村へ直接提供する「ダイレクトパス」の役割を担っています。

LASDECが提供している地方団体向けの情報セキュリティ支援事業と、自治体セプターという役割における早期警戒情報の活用状況について、同センター 自治体セキュリティ支援室 室長 平沼真一氏と同 主任研究員 百瀬昌幸氏にお話しをうかがうことができました。

●セキュリティ支援室は自治体セプターの要(かなめ)として機能

―本日はお忙しいところお時間をいただきありがとうございます。さっそくですが、LASDECで担っている自治体セプターにおける提供情報や情報セキュリティ支援事業にはどのようなものがあるか教えていただけますか。

平沼氏：まず、自治体セプターからご説明します。自治体セプターでは主に地方団体における脆弱性対策のための情報を提供しています。具体的には、特に注意すべきOSやアプリケーションの脆弱性情報とセキュリティパッチ情報、ほか例えば改ざんされたサイト事例といったインシデントに係る注意喚起情報などです。

次に、情報セキュリティ対策支援事業としては、地方団体のWebサーバーやWebアプリケーション、ネットワーク機器といったインターネットに接続されている機器の脆弱性を調べる「セキュリティ健康診断」などがあり、原則無償で提供しています。

ちなみに、Webアプリケーションの脆弱性診断は2007年に始めた当時、「ウェブ健康診断」という名で、エンジニアの手動による診断を行っていました。そのため、大変時間がかかり、地方団体から診断希望があっても一度には対応できない状態でした。こうした状況を打開するために、今年度、診断の機械化（自動化）を行いました。2011年10月開始から4カ月ほどで、400以上の地方団体及びその関連組織が運用している2,000以上のサイトを脆弱性診断することができました。機械化までの4年間に手動で診断したサイト数と比べると、実に2倍近い数字をわずか4ヶ月で達成しており、機械化の効果を実感しているところです。これで多くの脆弱性診断実施希望にも即応できる態勢が整いました。

また、最近問題になっている標的型攻撃への対策支援にも力を入れ始めています。重要な情報を外部に出さない出口対策を各地方団体で検討・実施できるようになるまでのつなぎとして、マルウェアの侵入を検知する入口対策支援の取組みを検討しており、現在一部の先行団体にて実施しているところです。

―“地方公共団体”という組織に対するセキュリティ支援には、どのような難しさがありますか。

百瀬氏：地方団体に限りませんが、人員不足等から基本的な対策が立ち遅れている団体もあります。そうした状況の組織を含め、セキュリティレベルを底上げしていくことは難題です。実際に被害にあうと意識が変わるといった事例もありますが、そのような意識の変化を待つだけというわけにもいきません。また、ソフトウェアの脆弱性情報や情報セキュリティの注意喚起が、さまざまな組織から発信されているので、一つ一つを吟味してどれが自分の組織にかかわるものなのか判断しきれないため、日常茶飯事として見過ごさざるを得ないという現実的な問題もあるようです。

また、役場という組織の特性から、地方団体は住民にサービスを提供しなければなりません。基本的にはオープンですが、同時に個人情報など機微な情報も最前線の窓口担当者が直接扱っています。技術的な対策だけでなく、例えば、短時間の離席でもスクリーンロックを徹底したり、窓口でのショルダーハッキングを防いだりといった全職員を対象とした教育も欠かせないのです。そうしたセキュリティ対策と行政サービスの品質をバランスさせなければならないことも地方団体の現場サイドでは難しい点と言えるかと思います。また、そのような現場に役立つ情報や支援事業とは何か、我々が出来ることを日々考えているところです。

―“地方公共団体”といってもさまざまな規模や取組み状況があり、それぞれに最適な支援や情報提供というのは難しいでしょうね。各地方団体にあわせた、きめ細かい対応をしなければならない状況の中での、JPCERT/CCが提供する情報の位置づけはどのようなものでしょうか。

平沼氏：我々の情報提供サービスにおけるJPCERT/CCの情報の利用は、LASDECにおいて自治体セキュリティ支援室が発足した2007年からになります。JPCERT/CCからの早期警戒情報は当初からその提供情報の中心的役割を果たしていました。余談ですが、当初は「注意喚起」という名前で配信していましたが、ほどなく「早期警戒情報」という同じ名前で配信するようになりました。

JPCERT/CCの早期警戒情報は、脆弱性の詳細情報、その脆弱性に対する攻撃動向に関する情報などで、どんなシステムにどのくらい影響があるのか、どの程度危険なのかの具体的な指標を示してくれています。さらに、具体的な対策方法も示しているので、セキュリティ担当部門がない地方団体にも真に脅威が迫っているものに厳選した情報配信ができる、その情報源として代えがたい重要な役割を果たしています。

●「注意してください」だけでは情報としては不十分

―情報提供を受けている地方団体側では、早期警戒情報をどのように利用しているのでしょうか。

百瀬氏：主に活用していただいているのは、ソフトウェアの脆弱性情報です。自治体セキュリティ支援室は、自治体セプターの事務局として、情報セキュリティに関する情報を一斉に各地方団体へ提供しています。人口規模の大きな団体は、個別に情報セキュリティ担当部署を持っているところもありますが、地方公共団体1,800団体の大半は、専門のIT部門やセキュリティ対策専門の組織を持っていません。

そのようなところに、ソフトウェアのアップデート情報やサイトの改ざん事例と注意喚起情報・サイバー攻撃動向の情報などを、世間に流れている情報をそのまま全て配信しても、どうすればいいのか担当者を戸惑わすだけになりがちです。脆弱性情報や実際の攻撃情報なども、単に脆弱性の詳細情報等を出すだけではなく、その情報に対応するための初動を早くするべき理由を示す必要があります。また、単に危険性があるかもしれないですとか、噂レベルの対処法のない情報は、混乱を助長するだけであり、そのまま提供するわけにはいきません。その点、JPCERT/CCの早期警戒情報は、真に差し迫った脅威に関する情報が厳選、整理されており、影響や対策についても具体的に提示してくれているので、各地方団体が自分たちでそれに即対応すべきか、しなくてもよいのか、少し対応を遅らせても良いのか等の判断をするのに役立っていると感じます。

―地方団体が実際に対処を判断するというシチュエーションで、具体的に役立ったという事例があればご紹介いただけますか。

百瀬氏：大きな話題にもなった事例としては、2010年9月、中国漁船の問題に端を発する反日運動の高まりから、中国国内で、日本企業や政府関連機関のほか、地方公共団体のサイト改ざんやDDoS攻撃の呼びかけが行われた際の対応が挙げられます。

このケースでは、事前に提供された情報の中に、攻撃予想時間、攻撃による影響や、いくつかの予防措置、そして攻撃対象リストなどが含まれていたため、この情報を参考にして緊急連絡先の確認をし、監視体制を強化したり、パスワードの変更や各種機器の設定確認をするなど、予防に努めた地方団体も多かったと聞きます。

この事前情報を、一番早く、かつ詳細に提供してくれたのはJPCERT/CCでした。先ほども述べたように、JPCERT/CCの早期警戒情報は、具体的な防止対策が記述されているので、配信先の各地方団体はすぐにアクションを起こすことができました。

●早期警戒情報はほとんどの地方団体が「参考になる」と回答

―提供情報に対する地方団体での評判について感触をおもちでしょうか。

百瀬氏：我々が自治体セプターとして提供している情報が役に立っているか地方団体にアンケートを取ったことがあります。ちなみに、提供情報のおよそ8割はJPCERT/CCからの早期警戒情報をベースとしたものが占めています。「情報セキュリティ対策を考えるうえで参考になりますか？」という問いに対して、「とても参考になる」、「参考になる」、「あまり参考にならない」、「まったく参考にならない」という4段階評価をしてもらったところ、「とても参考になる」「参考になる」を併せた評価が約95％を占めています。

実際の満足度は、地方団体によって情報の過不足感や対応レベルの違いなど様々あるかと思いますが、平均的には提供情報が有効に活用されているものと理解しています。今後も、JPCERTからのタイムリーな情報提供には是非期待したいと思っています。

―ありがとうございます。今後とも、この期待に応えるべく、より役に立つ情報発信を心がけたいと思います。本日はどうもありがとうございました。

Topへ