はじめに
自治体の情報セキュリティを考えるうえで、長く重要な役割を果たしてきたのが「三層分離」です。住民情報や行政文書など、自治体が扱う情報には高い機密性が求められるため、ネットワークを分けて守る考え方が採用されてきました。
一方で、近年はクラウドサービス、Web会議、テレワーク、生成AI、ガバメントクラウドなどの活用が広がり、従来の「分けて守る」だけでは業務の柔軟性を確保しにくい場面も増えています。デジタル庁の資料でも、三層の対策は短期間で全国一律のセキュリティ向上に寄与した一方、物理的なネットワーク分離による業務利便性の課題が指摘されています。
そこで注目されているのが「ゼロトラスト・アーキテクチャ」です。本稿では、三層分離とゼロトラストの違い、自治体が移行を検討する際の課題、そして現実的な進め方について整理します。アップロード資料の比較整理も踏まえています。
自治体の三層分離とは
三層分離とは、自治体のネットワークを主に三つの領域に分け、それぞれの情報やシステムを分離して管理する考え方です。大きく分けると、「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の三つです。
マイナンバー利用事務系は、個人番号を扱う住民情報、税、社会保障など、特に機密性の高い情報を扱う領域です。LGWAN接続系は、自治体内部の業務システムや行政専用ネットワークを利用する領域です。インターネット接続系は、Web閲覧、外部メール、外部クラウドサービスなど、外部との接点を持つ領域です。
このように分けることで、インターネット上の脅威が、機密性の高い住民情報や庁内システムへ直接及びにくい構成をつくってきました。特に、マイナンバー制度の運用開始やサイバー攻撃の増加を背景に、三層分離は自治体の情報セキュリティを底上げする重要な仕組みとして機能してきました。
三層分離が守ってきたもの
三層分離の大きな目的は、情報漏えいリスクを抑えることです。自治体は、住民の氏名、住所、税情報、福祉情報、健康情報など、民間企業以上に慎重な取り扱いが求められる情報を保有しています。仮にこれらの情報が外部に漏えいすれば、住民の不利益だけでなく、行政への信頼にも大きな影響を与えます。
そのため、インターネットに接続する環境と、重要な業務情報を扱う環境を分けることには明確な意味がありました。外部メールの添付ファイルやWebサイト経由のマルウェア感染を防ぐため、LGWAN接続系へファイルを取り込む際には、無害化処理や確認作業が求められてきました。総務省のガイドラインでも、インターネット接続系からLGWAN接続系へファイルを取り込む際には、危険因子の除去や確認を行う必要があるとされています。
つまり三層分離は、単なる古い仕組みではありません。自治体が持つ重要情報を守るために、現実的で強力な防御策として整備されてきたものです。
なぜ三層分離の見直しが必要なのか
三層分離には大きな効果がある一方で、現在の業務環境には合わない部分も出てきています。代表的なのが、クラウドサービスとの相性です。
たとえば、Web会議、チャット、クラウド型ファイル共有、生成AI、庁内FAQ、電子申請、オンライン相談など、自治体業務でもインターネットを前提としたサービスの活用が増えています。しかし、ネットワークが厳格に分離されていると、端末の使い分け、ファイル移動、無害化処理、二重入力などが発生しやすくなります。
その結果、セキュリティは高いものの、職員の業務負担が増えるという課題が生まれます。特に、人手不足や住民ニーズの多様化が進む中で、自治体には「安全に守る」だけでなく、「効率よく行政サービスを提供する」ことも求められています。
デジタル庁の国・地方ネットワークに関する資料では、将来的にゼロトラストアーキテクチャの考え方を導入し、セキュリティと柔軟な働き方の両立を目指す方向性が示されています。2030年頃の将来像として、一人一台PC、USBメモリ不可、テレワーク可といった姿も示されています。
ゼロトラストとは
ゼロトラストとは、「庁内ネットワークだから安全」「外部だから危険」と単純に分けるのではなく、アクセスのたびに利用者、端末、場所、状態、権限、通信内容などを確認し、必要最小限のアクセスだけを認める考え方です。
デジタル庁の「ゼロトラストアーキテクチャ適用方針」では、ゼロトラストアーキテクチャを、クラウド活用や働き方の多様化に対応しながら、政府情報システムのセキュリティリスクを最小化するための論理的・構造的な考え方と説明しています。
重要なのは、ゼロトラストは特定の製品名ではないという点です。ID管理、多要素認証、端末管理、ログ監視、アクセス制御、暗号化、EDR、クラウドセキュリティなどを組み合わせ、継続的に確認しながら守る設計思想です。
デジタル庁は、ゼロトラスト適用に必要な方針として、リソースの識別、本人確認・当人認証、ネットワーク保護、リソース状態の確認、アクセス制御ポリシーによる評価、リソースとアクセスの観測を挙げています。
三層分離とゼロトラストの違い
三層分離とゼロトラストの違いを簡単に言えば、三層分離は「場所で分けて守る」考え方であり、ゼロトラストは「アクセスごとに確認して守る」考え方です。
| 比較項目 | 三層分離 | ゼロトラスト |
|---|---|---|
| 基本思想 | ネットワークを分離して守る | すべてのアクセスを確認して守る |
| 重視するもの | ネットワーク境界 | ID、端末、状態、権限、ログ |
| 強み | 重要情報を外部脅威から切り離しやすい | クラウドやテレワークに対応しやすい |
| 課題 | 業務効率やクラウド活用に制約が出やすい | 設計・運用・監視の難易度が高い |
| 向いている場面 | 重要情報を閉域的に守る業務 | 多様な場所・端末・サービスを使う業務 |
ただし、ゼロトラストは三層分離を単純に否定するものではありません。デジタル庁の資料でも、ゼロトラストはネットワークベースのセキュリティ対策を否定するものではなく、クラウド利用が広がる中で境界型セキュリティだけでは不十分となる恐れがあると説明されています。
したがって、自治体にとって大切なのは「三層分離をやめるか、ゼロトラストにするか」という二択ではありません。既存の三層分離で守るべき領域を維持しながら、クラウド活用や業務効率化が必要な領域にゼロトラスト的な考え方を段階的に取り入れることが現実的です。
自治体が移行時に直面する課題
自治体がゼロトラストへ移行する際、最初に課題となるのはID管理です。誰が、どの端末から、どのシステムに、どの権限でアクセスしてよいのかを明確にしなければ、ゼロトラストは機能しません。職員、会計年度任用職員、委託事業者、外部関係者など、自治体には多様な利用者が存在するため、権限管理の整理が欠かせません。
次に重要なのが端末管理です。ゼロトラストでは、利用者だけでなく端末の状態も確認対象になります。OSやソフトウェアが更新されているか、マルウェア対策が有効か、紛失時に遠隔制御できるかなどを把握する必要があります。デジタル庁の資料でも、リソースの状態や構成が安全かを常時確認することの重要性が示されています。
さらに、ログ監視と運用体制も課題です。アクセスを確認する仕組みを導入しても、ログを見ない、異常を検知しても対応できない、責任部署が曖昧という状態では意味がありません。ゼロトラストは「導入して終わり」ではなく、継続的に観測し、評価し、改善する運用が前提になります。
α’モデルは現実的な移行ステップになる
自治体では、いきなり完全なゼロトラスト環境へ移行するのではなく、段階的な見直しが現実的です。その一つとして注目されるのが、α’モデルです。
α’モデルは、LGWAN接続系から特定のクラウドサービスへローカルブレイクアウトする構成として整理されています。総務省のガイドラインでは、α’モデルを採用する場合、従来のαモデルと比べてインターネットからのリスクが増加するため、より高度なセキュリティ対策の確実な実施が必要とされています。
また、LGWAN接続系の業務端末から外部クラウドサービスを直接活用できるようになる一方で、外部からの脅威が増加し、業務システム停止や重要情報の漏えい、LGWANへの脅威侵入といったリスクも考慮する必要があります。総務省のガイドラインでは、利用可能なクラウドサービスについてISMAP管理基準を満たし、ISMAPクラウドサービスリストに登録されているサービスとすることも示されています。
つまりα’モデルは、便利になるから導入するものではありません。クラウド活用の範囲、扱う情報、接続先、認証、端末管理、ログ監視、外部監査まで含めて設計する必要があります。
生成AI活用にも関係するテーマ
三層分離とゼロトラストの議論は、生成AIの自治体活用とも深く関係します。生成AIを庁内で使う場合、職員がどの環境からアクセスするのか、入力してよい情報は何か、ログは残るのか、回答結果をどう確認するのかといった運用ルールが必要になります。
特に、住民情報や未公開情報を不用意に入力しないためには、ツールの選定だけでなく、情報分類、アクセス権限、利用ルール、職員研修が欠かせません。ゼロトラスト的な考え方を取り入れれば、生成AIを「禁止する」か「自由に使う」かではなく、利用者、用途、情報の種類、接続環境に応じて安全に使い分ける設計がしやすくなります。
自治体DXを進めるうえで重要なのは、技術の導入そのものではありません。業務をどう変えるのか、どの情報を守るのか、どこまでクラウド化するのか、誰が責任を持って運用するのかを整理することです。
まとめ
自治体の三層分離は、住民情報や重要な行政情報を守るために大きな役割を果たしてきました。ネットワークを分けることで、外部からの脅威が重要システムへ直接届きにくい構成をつくってきた点は、現在でも評価されるべきです。
一方で、クラウドサービス、テレワーク、Web会議、生成AI、ガバメントクラウドなどの活用が進む中で、従来の分離中心の考え方だけでは、業務効率や柔軟性に限界が出てきています。
ゼロトラストは、三層分離を否定するものではなく、自治体のデジタル化に合わせてセキュリティを再設計するための考え方です。これからの自治体には、「分けて守る」強みを残しながら、「確認して使わせる」仕組みを段階的に取り入れる視点が求められます。
自治体DXの本質は、便利なツールを入れることではなく、住民サービスの質を守りながら、職員が安全かつ効率的に働ける環境を整えることです。三層分離からゼロトラストへの移行は、そのための重要な検討テーマの一つといえるでしょう。
コメント