自治体のネットワークは三層分離が基本

自治体のネットワークは三層分離と言って、自治体間専用の通信としてのLGWAN、庁内だけでデータのやり取りをする庁内LAN、インターネットは分かれていることになっている。
これは総務省の定めている要件で、これをどれだけの自治体が守っているかはわからないが、三層分離をキチンとやればやるほど、要所要所のデータのやり取りでは記憶媒体が必要になる。
｢USBをPCに挿せるようになってるのがヤバイ｣
という声はよく見聞きするが、残念ながら仕組み上、ネットワーク分離が進めば記憶媒体に頼らざるを得ないのである。

これは金融機関の業務をやっていた時もそうだったのであるが、データセンター内では各顧客専用の端末があり、それらの端末は専用線で顧客や他のSIerのデータセンターと繋がっているのである。
そのため、要所要所でUSBが必要になり、それらのUSBは社外持ち出しは現金、かつ｢いつ誰が取り出してしまったか｣が、全てICカードを通して記録されるようになっていた。
金融機関や自治体ではオンラインストレージ等を通したデータのやり取りはあまり行われず、顧客へのデータ納品なども主にCD-ROMを使って行われることが多い。
郵送でこれらの成果物を納品する場合、通常はセキュリティ便を使った運送がされるようになっている…筈である。

仕組みは良くても意識はザル

自治体のネットワーク三層分離は住民情報をコンピュータウイルス(マルウェア)から守るという点に当たっては、合理的なものではある。マルウェアから身を守るには合理的であるものの、それが故に媒体から離れられず、セキュリティ意識は必要になる。
金融機関の場合、データを取り扱うSIerも、業務を発注する金融機関側も、一定以上のセキュリティ意識を持って臨んでいるのだが、官公庁に至っては必ずしもそうとは限らない。

金融機関や信販系企業の場合、データセンターにおいてもカード情報の取り扱いにはそれ相当に厳格な対応を求めることが多いため、従事者もそれなりにセキュリティ意識の高い人間は多い。
ただし、役所のセキュリティ意識は割とザルである。
特に勤続年数の長い職員ほどIT技術に対する基礎理解が無く、USBの中身を一切パスワード保護していないなどのケースも見られ、危険な取り扱いをしていることが多々あるのだ。

市役所などもさることながら、学校の先生などマルウェアに感染することがしばしばある。
最早ITに関しては教育委員会の人間に対する教育が必要だという、笑えない事態が起こっている。
そんな矢先に尼崎市役所でUSBの紛失事故が発生した。
繰り返す通り、USBにパスワードを設定していない市役所は未だにある。その点、尼崎はパスワードを設定したのは良かった。
問題は紛失事故の会見において、パスワードの桁数を公表してしまう暴挙に及んだことだ。そこからあっという間に｢amagasaki2022(13桁)｣というパスワードが推測されている(これが合っているかはわからないが…)。
あまりにリテラシーが低いと言わざるを得ないが、尤も尼崎市が格別にリテラシーが低いというわけでもない。これより酷い自治体など幾らでもある。寧ろUSBにキチンとパスワードは設定していただけ｢まだマシ｣かも知れないのである。

• ⓶