セキュリティ特集
第4回「多要素認証に基づくSSOがゼロトラスト移行への必須コンテンツ」
これまで3回にわたり、「今後のクラウドコンピューティング普及に伴い「ゼロトラスト・セキュリティ」が主流となり、その際にはアクセス管理のポイントはID管理になる」とお伝えてきました。
自治体を取り巻く情報セキュリティの指針として、総務省が発出する「地方公共団体における情報セキュリティポリシーに関するガイドライン」(以後「総務省ガイドライン」という)と文部科学省が発出する「教育情報セキュリティポリシーに関するガイドライン」(以後「文部科学省ガイドライン」という)とがありますが、いずれも今年(2022年)3月に改訂が行われました。今回は2つのガイドラインを比較して、それぞれがどのような特徴を持っているのか、それぞれの背景からお伝えします。
1.総務省と文部科学省の多要素認証に対する考え方の違い
総務省ガイドラインの特徴は、平成28年(2016年)に発出された「情報セキュリティ強靭化策」に基づいた「三層分離」です。自治体職員が利用するシステムを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つに分けて、それぞれの通信を分割することで、重要情報の流出・漏えいを防ぐ仕組みです。クラウドコンピューティングやテレワークの普及などで一定の改訂がなされましたが、基本的な考えは大きく変わっておりません。
一方の文部科学省ガイドラインは平成29年(2017年)の策定時は総務省と同様のネットワーク分離を基本としておりましたが、令和3年(2021年)の改訂時に「アクセス制御による対策」としてゼロトラスト・セキュリティに近い考えを提示して、今回の改訂でもそちらへの移行を進めております。
総務省ガイドラインでは、多要素認証はマイナンバー利用事務系のシステムには必須としているものの、LGWAN接続系などでは重要な情報にアクセスする際の手段として紹介はされていますが、必須ではありません。シングルサインオンについては、全く触れられておりません。
文部科学省ガイドラインでは令和3年の改訂で教職員が校務系のシステムにアクセスする際に多要素認証を必須として、今回の改訂では「アクセス制御による対策」を講じる際には多要素認証を必須としました。このことから、児童生徒が利用するパソコンにおいても多要素認証を必須とするケースが生じ、その際にはシングルサインオンを用いて、運用効率化と運用負荷の最小化を目指すべきとしています。
このように、総務省ガイドラインと文部科学省ガイドラインとではユーザ管理に対する考え方に大きな違いがあるのは、総務省が「ネットワーク分離による対策」を続けているのに対して、文部科学省ガイドラインでは「アクセス制御による対策」によって認証を重要視するようになったからなのです。
2.文部科学省のID統合検討会での議論
私は文部科学省ガイドラインについては、最初の策定から関わっており、今日では改訂検討会の座長を務めています。その役職にあることもあり、文部科学省では各種の検討会に委員として参加をしています。
2020年度にGIGAスクール構想が前倒しとなり、2021年4月にはほぼ全ての公立小中学校で児童生徒一人1台パソコンが配備されてから、文部科学省では一気に多くの実証や検討がなされることとなりました。その背景には、ICT環境が充実したことで、これまでとは違った授業が行えるようになったこと、子ども達がパソコンを通して生み出す多くの情報を用いることで、データを活かした学校経営(EBPM)が行えるようになったことなどがあるからです。
特に私が注目しているのは、ID統合の検討会です。議論の中心は子どもへのIDを統一することで、IDを通した情報連携が可能となり、校務事務の効率化はもちろん、子どもの危険信号にいち早く気付いたり、家庭の状況などを推測することができたり、さらには連携したデータを匿名化することで、研究機関との連携が図られるなど様々なメリットが生み出されます。
教育分野でのマイナンバー利用が許されていない現状において、どのようなIDを振ることで効果が発揮できるのか、それを検討しています。これは子ども家庭庁の発足にも影響を及ぼす検討であり、デジタル庁や内閣府・厚生労働省も注目しておりますので、しっかりと議論を深めていきたいと考えております。
このようにID管理は情報セキュリティの話しではなく、来るデジタル化社会においてもID管理は重要な課題であり、自治体業務に携わる全ての職員が、ID管理の重要性を認識するようになることとなります。
3.業務効率化と情報セキュリティ向上を同時に実現するにはID運用が肝となる
話しが広がってしまいましたが、ID管理をしっかりと行うことは、ゼロトラスト時代のアクセス管理の基礎であると同時に、データを連携する・別のシステムのデータと紐づけを行うなどの面でも効果を発揮することが理解できたと思います。
文部科学省では児童生徒のIDとしてマイナンバーが活用できませんので、それに代わるIDのあり方を研究しています。日本全国で児童生徒のIDへの標準化が定まれば、進学や転校に関係なく自分の情報を持ち運べるでしょうし、データの形式が定まれば、学校間での情報の引き継ぎが安全に効率的に行われることとなります。
このことは自治体の業務においても同様のことが言えるのです。自治体においては個人にはマイナンバーが、そして法人には法人番号やGビズIDを使って、名寄せや情報連携が出来る仕組みが整いつつあります。
この考え方を基に、情報セキュリティのレベル向上策を練ってみてはいかがでしょうか。情報にアクセスしようとしている者が「誰で」「どのような職位で」「どの所属で」「アクセスすることが許可されているか」これら各種の紐づけが瞬時に行えるようになれば、ゼロトラスト・セキュリティの基礎となるアクセス制御が図られます。
自治体職員や学校教職員がマイナンバーを使ってパソコン等にログインすることは現段階ではできませんが、少なくても組織内でのID付与ルールを確立することで、組織内でのアクセス管理の徹底が図られます。そして、IDを他の要素(生体情報やICカードなど)と連携させると、より強固なユーザ認証へとレベルアップが可能となります。さらにSSOツールを使えば、各システム・各アプリケーションにログインする際にはSSOツールの有する認証方法(ICカードや顔認証など)によって、ID・パスワードを入力するよりも確実な認証が行え、ユーザにとってはログインに係る手間が、管理者にとってはパスワードロックへの対応などといった管理の手間が削減されます。
多要素認証、シングルサインオン利用イメージ
最後に
全4回にわたってのコラムはいかがでしたでしょうか。情報セキュリティはデジタル化が進めば進むほど、事業継続に欠かせない要素となってきます。日進月歩で新たな脅威が報告されているように、情報セキュリティツールも進化を遂げています。しかしながら、ユーザID・ID管理は組織における情報管理の要であることは変わりありません。管理に関わる皆さんが安心して効率的な運用が可能となるよう、多要素認証を用いたシングルサインオンの導入を検討してはいかがかと考えます。
高橋 邦夫 氏 プロフィール
1989 年〜2018 年 豊島区役所 勤務 情報管理課長を始め情報管理課18年、税務課、国民年金課、保育課
2014 年~2015 年 豊島区役所CISO(情報セキュリティ統括責任者)
2015 年 総務省情報化促進貢献個人等表彰において総務大臣賞受賞
2015 年~ 総務省地域情報化アドバイザー、ICT地域マネージャー
2015 年~ 地方公共団体情報システム機構 地方支援アドバイザー
2015 年~ 文部科学省ICT活用教育アドバイザー(企画評価委員)
2016 年~ 独立行政法人情報処理推進機構「地方創生と IT 研究会」委員
2018 年~ 合同会社KUコンサルティング設立、電子自治体エバンジェリスト
2022 年 令和4年度「情報通信月間」総務大臣表彰
関連記事
エンドポイントゼロトラストに必要なID管理とアクセス管理
多要素認証、シングルサインオンソリューション「ARCACLAVIS」について
今回の記事内で紹介した、多要素認証、シングルサインオンについての詳細機能は以下のページでご覧いただけます。ARCACLAVIS NEXTのページでは、「職員証を持つ職員(社員)と、持たない臨時職員(アルバイト)」が混在する環境での多要素認証の実現方法や、共有ID環境での利用者の判別方法なども具体例をあげて記載されています。
両備システムズの「ARCACLAVIS」は、純国産・自社開発の認証ソリューションです。
1998年より、国産自社開発・販売・保守を継続し、官公庁、自治体、金融など様々なお客様への導入実績があります。 多要素認証(MFA)以外にも、さまざまな認証方法を提供しています。