自治体へのサイバー攻撃、いかに対策するか？情報セキュリティ専門家集団と徳島県の取り組み

自治体情報セキュリティ強靭化に向けて

岡田一彦氏：株式会社ＦＦＲＩ事業推進本部の岡田と申します。今回は45分間お時間をいただきまして、「自治体情報セキュリティ強靭化の次の一手」についてお話しします。

現在、弊社で徳島県庁様に全面的に協力いただきまして、次世代エンドポイントセキュリティ製品「FFRI yarai」という製品について、全庁的にご導入をいただいています。

その次世代エンドポイントセキュリティ対策において、どのような課題や問題点があったか。実際に運用いただいている徳島県庁の電子行政推進課の山住様から、お話をいただきたいと思っております。

前半は山住様からお話をいただいて、後半は実際に使っていただいている弊社のソリューション、プロダクトなどを簡単にご紹介させていただきたいと思っております。では山住様、よろしくお願いします。

山住健治氏：ただいまご紹介いただきました、徳島県経営戦略部・電子行政推進課の山住です。どうぞよろしくお願いいたします。

まず、徳島県というところについてご紹介します。今ここでご出席されているみなさま方で、「徳島県はここにある」ということを日本地図でパッと指さして答えられる方は、どれくらいいらっしゃいますか？

（会場挙手）

思ったより多いですね。よく言われるのは、だいたい四国は1つになっていて、四国にあるのが徳島県、香川県、高知県、愛媛県というのはわかる。でも、その4つの位置関係はわからない、という方はけっこういらっしゃるんですね。

徳島県は、ここです。四国の中でも一番東側にあります。紀伊半島の向かい側ですね。緑色になっているところが徳島県になります。県章はパッと見てわかるように、ひらがなの「とく」という字がデザイン化されたものになっています。

面積は約4,000平方キロメートル。人口は実は74万人弱なんですね。（この会場には）大きな市や政令市から来られている方がいらっしゃると思います。おそらく、そこ以下の人口しかいない県です。ただ、ビリではないんですよ。下から2番目か3番目なんですけどね。世帯数は約31万世帯ということになっています。

徳島のさまざまな特産品や特徴

徳島県のシンボルというと、県の木が「やまもも」で、県の鳥は「しらさぎ」です。ところでみなさん、「しらさぎ」がどんな鳥かご存知ですか？　県の鳥が「しらさぎ」となっているんですが、実は「しらさぎ」という鳥はいないんです。全身が白い「さぎ」のことを、総称して「しらさぎ」と呼んでいるんですよ（笑）。ですので、本当は「しらさぎ」という名称の鳥はいないんですよね。

県の花は「すだちの花」です。「すだち」はお聞きになったことありますか。小さな緑色の柑橘類で、香りと酸味を楽しむためにお刺身や焼き魚などに付け合わせて食べていただきます。そのすだちの木の花が、県の花になっています。

徳島県で有名なものといいますと、鳴門の渦潮、それから祖谷のかずら橋、そして西の池田（旧池田町）のほうにあるラフティングですね。吉野川の上流のほうで体験できます。最近ラフティングの世界大会も行われました。

そして剣山。それからサーフィン。これは県の南のほうに、非常にいい波が来るところがありまして。県外のサーファーもよくやって来るところになっています。その南のほうには「千年サンゴ」と呼ばれる、非常に大きなサンゴがあります。

一番有名なのは阿波踊りでしょう。今年はいろいろあってとくに目立ちましたが、なんとか実施することができました。来年も必ずありますので、ぜひみなさん阿波踊りに来ていただきたいと思います。

県のキャラクターは「すだちくん」といいまして。すだちの実に顔を描いているものがデザインされて、県のマスコットキャラクターになっています。この「すだちくん」はかなり前に作られました。県や市町村に、いろいろなマスコットキャラクターがいますが、当時その中で唯一「こんなに顔色の悪いマスコットは初めてだ」と言われまして（笑）。

でも、とてもかわいらしいですよ。徳島県はこの会場（東京国際展示場）にブースを出しています。そちらにはこの「すだちくん」の人形も飾ってありますので、ぜひお越しになってご覧いただきたいと思います。

情報セキュリティ対策に必須の「三層の構え」

それでは本題です。自治体情報セキュリティ対策の現状としまして、今回のＦＦＲＩさんとの共同実証実験の背景から、ご説明させていただきたいと思います。

まず、「三層の構え」というものがあります。出席されている自治体さんもいろいろと大変だったと思うんですが、日本年金機構における個人情報流出事案を受けて、総務省から自治体のセキュリティにかかる抜本的な対策が出されました。

それが「三層の構え」ということで、まず1つ目は「マイナンバー利用事務系では、情報の持ち出し不可設定などを図って、情報の流出を徹底して防止しなさい」ということ。

それから2つ目には、LGWAN（総合行政ネットワーク）環境ですね。「LGWAN環境とインターネット接続系を完全に分離しなさい」ということ。

そして3つ目として、「都道府県と市町村が協力して、高度な情報セキュリティ対策を講じるために『自治体情報セキュリティクラウド』というものを作りなさい」「インターネットの接続点はそこへ集約しなさい」と。

こういう3つの対策が要請されました。それに基づきまして、徳島県でも一応インターネット系、それからLGWAN系、基幹系という3つのネットワークに分離しました。それぞれで通信の制限、そのほかいろいろなことを行っております。これは説明すると長くなるので、図をご覧になっていただけたらと思います。

このように、インターネットを分離して、セキュリティクラウドも作りました。ですので、「セキュリティ対策は万全になってきただろう」と思われます。ところが、それでもまだ残されている懸念・気がかりがあります。

それはまず、LGWAN系及びマイナンバー系においては、ファイルの受け渡しの問題ですね。すべてのファイルをサニタイズすることは不可能です。総務省の指針では、インターネット系からLGWAN系にファイルを持ち込むときは、ファイルを分解して怪しいところを全部除去して、もう1回再構築して。そうした上でLGWAN系に持ち込みなさい、という指導がされております。

しかし、今インターネット上でやり取りされているファイルの形式すべてがサニタイズできるわけではありません。どうしてもサニタイズを通すことができないようなファイルも存在します。ですので、そういったファイルは、この下にあります「USBや媒体で持ち込む」ということが起こります。

例えばネットワーク上で勝手に横展開していくような未知のマルウェアが持ち込まれた場合に、既存の端末でのセキュリティ対策でそれが防げるのだろうか、対応できるのだろうかという問題があります。

もう1つはインターネット系です。これは自治体セキュリティクラウドに接続しているので、さまざまな多層防御がなされています。ファイアウォール、サンドボックスなど、いろいろなものを通ってきます。しかし、マルウェアの侵入や脆弱性による攻撃を、100パーセント防ぐということはできません。

インターネットに接続する端末には、基本的に当県では仮想端末を利用しております。仮になんらかの事情で未知のマルウェアが侵入してきた場合でも、仮想端末ごと一手に全部削除してしまえば、なんとか防げます。

でも、どうしても仮想端末で対応できない業務もありまして、そういうところにはインターネット系に物理端末が存在します。物理端末の場合、即削除ということは難しい。ですので、そういったほんの少しのタイムラグの間に、なにかが起こるかもしれない。そういったことが残されています。

政府が決定したガイドラインの影響

今年、政府のサイバーセキュリティ戦略が改正され、平成30年7月27日に発表されています。この中で「エンドポイント（端末等）においてマルウェアの挙動を検知することにより、被害の未然防止及び拡大防止に取り組む」と明言されています。

さらにその下にあります、「政府機関等の情報セキュリティ対策のための統一基準」。この中には「サーバー装置及び端末に不正プログラム対策ソフトウェア等を導入すること」とありますが、その細かな解説がされている（政府機関等の対策基準策定のための）ガイドラインの中で、「不正プログラム対策ソフトウェア等の導入にあたり、既知及び未知の不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること」といった一文が付け加えられています。

これに基づきまして、平成30年9月25日に「地方公共団体における情報セキュリティポリシーに関するガイドライン」が変更されました。その中の「不正プログラム対策」の解説の部分で、「パターンファイルで検知が難しい不正プログラムも存在することから、不正プログラムの挙動を検知する方式もある」という一文が付け加えられています。

つまり「エンドポイント」、端末における挙動検知での未知の不正プログラム対策というのが、今回重要なポイントになっているんですね。本県がこの実証実験を始めたのは今年の1月ですので、実に半年以上あとになって、こういう指針が示されたということになります。

サイバー攻撃対策の強化のために

では、実際のサイバー攻撃対策強化の実証実験の内容について、お話しさせていただきます。

この実証実験を開始するときのプレス発表にも使った資料になりますが、これが今回の実証実験の概念図ということになります。ＦＦＲＩさんの協力をいただきまして、FFRI yaraiというふるまい検知型のソフト、これをマイナンバー系・LGWAN系・インターネット系、それから県庁ネットワークではなく、教育情報ネットワークに当たる学習系にも実験的に導入しまして。その動きを見ることを始めました。

期間は、1月26日から来年度の3月31日までということになっています。ただ、以降の延長も十分あり得ると思っております。

導入する対象は、インターネット系で210台。インターネット系は先ほども申し上げましたように、仮想ブラウザを使っております。ですので、その仮想ブラウザを使うために設定してあるWindowsサーバーの台数がほとんどになります。仮想ブラウザの数としては4,000くらい、サーバーとしては200台くらいということです。

LGWAN系は、普通の物理端末で約4,700台。それからマイナンバー系は、基幹系の業務のための専用端末になりまして、290台。合計5,200台が、県庁総合サービスネットワークの中でインストールする端末になります。

それと教育情報ネットワークの学習系として、試験的に600台の端末に導入させていただく予定になっております。

検証内容としましては、徳島県とＦＦＲＩさんの協力のもと、FFRI yaraiの最新バージョンを導入するとともに、管理環境を構築します。サイバー攻撃に対する防御、使用環境・性能の検証。それから攻撃を検知した場合の検体確保など、実際に運用する中でどんな問題があるかの検証を実施していきます。

この実証実験の中で、徳島県としての役割、それと期待する効果についてです。まずFFRI yaraiを県が保有する端末に大規模に導入して運用試験を実施して、「自治体が構築しているネットワーク分離環境における運用上の問題の有無」「自治体が利用する業務ソフトとの整合性・業務遂行上に生じる問題の有無」「教育現場での利用での問題点の有無」の調査を行います。

期待する効果としましては、「従来型のウイルス対策ソフトとの同居によるサイバー攻撃対策強化」「現状のセキュリティ対策では検知できないマルウェアを検知すること」。

それから「日々の業務の可用性を損なうことなく、未知の脅威に対するセキュリティの向上」「教育現場でのセキュリティ向上・生徒のセキュリティ意識向上」「ほかの自治体や教育現場から理想とされる『セキュリティ全国モデル』の構築」ということになります。

ＦＦＲＩはどんな役割を果たしたか

ベンダーのＦＦＲＩさんの役割は、「FFRI yaraiの最新版を徳島県に提供して、環境構築・運用について技術支援を行い、全国に普及するモデルを創造する」と。

期待する効果は、「徳島県からのフィードバックを受けて製品の品質を向上すること」「自治体や教育現場から必要とされる機能要件などの情報を製品開発に活用したい」「徳島県の実施実績の成果をもとに、今後、全県下の市町村や学校、全国の自治体への波及を期待する」ということになっています。お互いWin-Winの関係で、なんとかうまくやっていけないだろうかということです。

導入スケジュールと導入の方法についてです。先ほど「教育情報ネットワークにも600台インストールする予定になっております」と申し上げましたが、この予定は私どもが関与している県庁総合サービスネットワーク、県庁内のネットワークの中だけの話になります。

まず1月から6月にかけて構成の設計、AMC、管理サーバーの構築、それから端末へのインストール（を行います）。7月から9月末にかけて「ログモード」という警告だけを出して、実際にプログラムの動きを止めたりはしない。ただしログを出力して、「こいつ怪しいですよ」と教えてもらえる。

その状態にしておいて、そのプログラムが実際に怪しいプログラムなのか、それとも普通に動いているプログラムなのかを調べまして。「このプログラムは大丈夫だよ」というホワイトリストを構築していきます。

10月から本格稼働で、ブロックモードで運用することにしておりますが、実際には、まだ本格運用のキーは押してません。10月中には押せるように持っていきたいと思っています。

導入方法としましては、インターネット系・LGWAN系・マイナンバー系それぞれに専用のインストーラを作成していただきまして、それを使ってインストールしております。

各物理端末へのインストールは、ログアウトスクリプトによるサイレントインストールを行いました。自分の端末をログアウトするときに自動的にインストールするような仕組みを作って、インストールさせていただきました。仮想端末に関するところでは、リンク・クローンにより仮想端末へ一気に展開をかけています。

セキュリティの脅威への効果は？

導入効果とトラブルシューティングについてです。導入と構築の間にどういった問題が起こったか。効果としましてはまず、既存のセキュリティ対策製品では検知できなかったファイルを検知しました。

これはFFRI yaraiをインストールしますと、最初にフルファイルスキャンが走るんですね。このときにネットワーク分離以前から潜んでいたと思われる、挙動の怪しいプログラムが検知されました。

これはインターネットブラウザのキャッシュに残っているファイルでしたので、まだネットワークを分離する以前ですね。物理端末でインターネットを直接見ていた2年以上前に、実はもうすでに落としてきていて。

実際には動いてなかったんですが、今回このFFRI yaraiのスキャンによって「こんなものがいたぞ」とわかったんですね。

そして、それぞれの端末の稼働状況を管理コンソールで一括管理できるようになりました。トラブルシューティングとしましては、いくつかあります。先ほど申し上げましたように、インストール直後にフルスキャンが走ります。

このときに、パソコンの負荷が異様に高くなることが起こりました。これも端末によるんですけれども、あまり感じない端末もあるし、ものすごく重たくなる端末もありまして。

ですので、業務中にインストールすることが難しかったので、先ほども言いましたようにログアウトスクリプト。ログアウトするときにインストールを走らせる。業務終了後の夜中、端末を使うのをやめた後でインストールをして、フルスキャンを朝までに終わらせる。そういった手法をとらせていただきました。

インターネット系の仮想端末から、（スライドを指して）これはインストールした翌日ですね。数千件の検知ログが上がってきまして。これがメールでガンガン飛んできます。我々の展開したときの不手際でもあったんですが、リンク・クローンによる一斉展開をしましたので、すべての仮想端末で同じファイルを誤って検知してしまうと。

ですので、4,000人がブラウザを起動して、そのたびにプログラムが走るために、それぞれの仮想ブラウザの中で検知が起こって、ものすごい件数のログが発生したんですね。ファイル数としては、ほんのいくつかなんですよ（笑）。それが一気に同じ端末で起こりましたので、こういう事象が起こりました。これもホワイトリストの登録で問題を回避できました。

現在、使っている業務上のプログラムと相性が合わずに、FFRI yaraiが稼働している状態で、そのプログラムを走らせると、非常に処理が遅くなる事象が起こってしまう端末が、いくつか出ています。それは現在、対処法と原因について調査中になっています。