自治体情報セキュリティクラウド

2016年1月に発生した「日本年金機構の不正アクセス被害」を受け、総務省は同年「自治体情報システム強靱性向上モデル」を策定した。この枠組みにより、自治体の情報ネットワークを①インターネット系（住民向けサービス）、②LGWAN系（内部業務・省庁間通信）、③マイナンバー利用事務系の3層に分離し、インターネット接続口を都道府県単位で集約管理するクラウド型セキュリティ基盤が整備された。市区町村単独では高水準の運用監視・即時対応体制を維持することは困難であるため、都道府県が共同基盤を提供する仕組みとなっている。

2種類のセキュリティクラウド

都道府県が整備するクラウドには、①セキュリティクラウド（α：アルファ）（インターネット接続口の集約・不正通信の検知・遮断）と②セキュリティクラウド（β：ベータ）（LGWANと庁内ネットワークの分離）の2系統がある。参加市区町村はこれらを経由してインターネット接続・LGWAN接続を行うため、個別にファイアウォール・WAFを整備する場合よりも費用効率よく高水準のセキュリティを維持できる。

費用負担と運用

セキュリティクラウドの構築・運用費用は国の補助（地方財政措置）と都道府県・市区町村の負担によって賄われる。参加各市区町村は接続費用を都道府県に支払い、共同でセキュリティ基盤を利用する形をとる。個別に同等水準の機器・監視体制を整備するコストと比較して大幅に安価であるとされる。

3層分離モデルとの関係

セキュリティクラウドはネットワーク3層分離モデルの実装手段である。①インターネット系・②LGWAN系・③マイナンバー利用事務系の各ネットワークを物理的または論理的に分離することで、ある系統で侵害が発生した場合に他の系統への影響を遮断する。自治体はこの3層分離の実現状況を毎年度自己点検し、総務省に報告する義務がある。

自治体DX推進計画との関係

総務省の「自治体DX推進計画」（2020年12月）においても、自治体情報セキュリティクラウドの活用継続が明記されている。標準準拠システムのガバメントクラウドへの移行後も、インターネット接続口の集約管理というセキュリティクラウドの基本機能は継続して維持される見込みである。ガバメントクラウドとセキュリティクラウドは相互に補完する関係にある。

各市区町村がセキュリティクラウド利用時に必要なエンドポイントセキュリティ（職員端末のウイルス対策・パッチ管理等）については、セキュリティクラウドとは別に自治体が個別に整備する責任を持つ。