自治体DXと「三層の対策」の見直し。今、地方自治体に求められるID管理のあり方

現在、全国の自治体ではDX（デジタルトランスフォーメーション）の推進と、情報セキュリティの両立が重要な課題となっています。

従来の「三層の対策」は、自治体情報の保護に大きな役割を果たしてきましたが、クラウドサービスの活用や働き方の多様化に対応するため、総務省のガイドライン見直しを踏まえた柔軟な構成への移行が進んでいます。

本記事では、情報政策担当者が直面する「利便性とセキュリティの両立」という課題に対し、これからのID管理の考え方を整理します。

1. なぜ今、「三層の対策」の見直しが進んでいるのか？

従来の三層の対策は、マイナンバー利用事務系、LGWAN接続系、インターネット接続系を分離することで、自治体の重要情報を保護する考え方でした。

この構成はセキュリティ確保に有効である一方、クラウドサービスの利用や庁外からの業務アクセス、職員の柔軟な働き方には制約がありました。

こうした課題を踏まえ、現在はクラウド活用を前提とした構成や、より柔軟なネットワーク設計への見直しが進んでいます。

総務省のガイドラインの見直しでは、従来の構成を前提にしつつ、クラウド利用や業務効率の向上に配慮したモデルが整理されています。

特に、α'（アルファダッシュ）モデルなどの考え方により、業務内容やセキュリティ要件に応じて、より適切な構成を選べるようになっています。

従来型を完全に否定するのではなく、業務の性質に応じて最適な構成を選ぶことが重要です。

ネットワーク分離を緩和する場合、これまで物理的な壁で守っていた領域に、インターネット経由でアクセスする場面が増えます。そのため、今後はネットワークだけでなく、「誰が、どの端末から、どのサービスにアクセスしているか」を正確に制御する仕組みが重要になります。

IDとパスワードだけに依存した認証は、フィッシングやパスワードの使い回しによるリスクを抱えています。そのため、パスワードに加えて、スマートフォンアプリ、物理トークン、ICカード、顔認証や指紋認証などを組み合わせた多要素認証（MFA）が強く推奨されます。

※多要素認証はクラウド活用時の重要な対策の一つですが、それだけで十分ではありません。端末の状態確認、アクセス制御、ログ監視など、他の対策とあわせて運用することが前提です。

自治体では、Microsoft 365、自治体向けチャット、業務システムなど、複数のサービスを利用するケースが増えています。サービスごとにIDとパスワードをばらばらに管理すると、運用負荷が高まり、パスワードの使い回しやメモ書き保存などのリスクも増えます。

シングルサインオン（SSO）を導入すると、職員は一度の認証で複数サービスにアクセスしやすくなり、管理者側もアカウント管理や権限付与を整理しやすくなります。ただし、導入にあたってはIdP連携、権限設計、条件付きアクセス、退職者アカウントの即時削除などを含めた運用設計が必要です。

Q：自治体がクラウド利用を進めるうえで、最も注意すべき点は何ですか？
A：ネットワーク分離だけに頼らず、ID管理と認証を中心に、端末健全性や権限管理を組み合わせて安全性を確保することです。多要素認証やアクセス制御は特に重要ですが、単独では不十分なため、全体の運用設計が欠かせません。

Q：見直しの第一歩として、何から始めるべきですか？
A：まずは業務フローを可視化し、どの業務をクラウド化できるか、どの業務は慎重な分離が必要かを整理することです。そのうえで、複数システムのIDを統合管理するためのアイデンティティ基盤や、認証方式の見直しを検討するとよいでしょう。

自治体のセキュリティ対策を検討する際は、最新の総務省ガイドラインを確認することが重要です。

三層の対策の見直しは、単なるネットワーク構成の変更ではなく、自治体の働き方と業務運用を見直す取り組みでもあります。

重要なのは、ネットワーク分離を維持するか緩和するかという二択ではなく、業務の実態に応じて、ID管理、認証、端末対策、権限管理を適切に組み合わせることです。クラウドの利便性を活かしながら住民情報を守るには、技術だけでなく、運用とガバナンスを含めた総合的な設計が欠かせません。