三層の対策

庁内のパソコン1台がウイルスに感染したとき、なぜ住民情報まで一気に抜き取られないのか。その歯止めを担うのが三層の対策である。2015年の日本年金機構の個人情報流出を受け、総務省は自治体に対し、扱う情報の重要度ごとにネットワークを三層へ分けることを求めた。住民票や課税情報など個人番号を扱うマイナンバー利用事務系を最も内側に置き、人事給与や財務などの内部事務をLGWAN接続系に、メールやウェブ閲覧をインターネット接続系に分け、層をまたぐ通信を原則として遮断または無害化する。インターネット接続系を都道府県単位の自治体情報セキュリティクラウドへ集約することと一体で運用され、外部からの攻撃が住民情報に到達する経路を物理的・論理的に断つ設計になっている。当初は層間を厳格に遮断するαモデルが中心だったが、業務効率を損なう面があり、後にLGWAN接続系で画面転送等を使い安全に効率を上げるβモデル、β'モデルへと選択肢が広げられた。

三つの層が分ける情報と通信制御

三層の対策は、自治体が扱う情報を重要度で三段階に切り分ける。第一にマイナンバー利用事務系は、住民基本台帳・地方税・社会保障など個人番号を含む基幹業務を担う層で、原則として他系から独立させ、二要素認証や物理的な端末分離など最も強い統制を置く。第二にLGWAN接続系は、人事給与・財務・文書管理など個人番号を含まない内部事務とLGWAN上の行政専用サービスを扱う。第三にインターネット接続系は、メール送受信やウェブ閲覧など外部とやり取りする業務を担う。三層の眼目は層の存在そのものではなく層間の通信制御にあり、上位の層から下位の層への持ち出しや、インターネット接続系から内部への持ち込みを、無害化通信やファイル無害化を介して限定する点にある。

αモデルとβ・β'モデルの使い分け

総務省のガイドラインは、層間分離の方式として複数のモデルを示している。αモデルは職員の業務端末をLGWAN接続系に置き、インターネット接続系は画面転送等で利用する従来型で、遮断を最優先する。一方、メールやウェブ業務が増えると画面転送中心の運用は使い勝手を損なうため、業務端末をインターネット接続系側に置き、LGWAN接続系の情報を画面転送で安全に参照するβモデル、β'モデルが追加された。どのモデルを採るかは、自治体の業務実態とリスク許容度に応じた選択であり、近年はクラウドサービスの利用拡大やゼロトラストの考え方を取り入れた見直しも論じられている。