自治体システム強靭化を進めていくと「WSUSサーバ」や「ウイルス対策ソフト配信サーバ」等をLGWAN接続系とインターネット接続系で接続する必要が出てきます。というのもLGWAN-ASPを利用する予算がなかったり、手動で電子媒体をデータ転送を行うのは手間であったり等の個別の諸事情から、接続せざるをえなくなるといった事があると考えます。
特定通信の定義は?
特定通信の定義について考えてみます。下記引用は総務省が公式に各県に配布している資料からの抜粋です。
①個人番号利用事務ネットワーク以外との通信は、アクセスしても安全と認められる特定通信限定とする。特定通信に限定する際は、通信経路の限定(MACアドレス、IPアドレス)に加えて、アプリケーションプロトコル(ポート番号)のレベルでの限定も行うこと。①-1
特定通信する場合は、L2SW/L3SWによる通信経路限定、ファイアウォールによる通信プロトコル限定等を行うことで通信を制限する。
②-2
その他外部ネットワークとの通信が発生する場合は専用回線サービスを検討する。出典:「対策検討チーム報告 参考5.自治体情報システム強靱性向上モデル要件シートの一例」No.2 要件の実現手法(例)
これを整理してみると下図のようになります。
この総務省の配布文章を見ると「IPとMACとポート指定してファイアーフォールで挟めばいいんだな!余裕よ!」と特定通信で繋げてしまおうと考えます。
しかし条件が
下記引用についても総務省発信の文章です。
外部接続として、住基ネット、マイナンバー制度における中間サーバー連携や住民票の写し等のコンビニ交付用のLGWAN接続、データバックアップセンターや共同利用/クラウドセンター等、十分にセキュリティが確保された特定通信先と限定的に接続することが必要である。
なお、外部接続先も、インターネット等と接続されていてはならないことも留意する。また、OSアップデートやウイルス対策ソフトのパターンファイルの更新等においても、インターネットに接続して利用しないことに留意すべきである。出典:「対策検討チーム報告 参考5.自治体情報システム強靱性向上モデル要件シートの一例」No.2 備考(例)
日本語を図式化すると下図のようになります。
要するに外部接続先のサーバはインターネット接続できないという事です。
という事は、仮にLGWAN接続系とインターネット接続系のWSUSを接続させた場合、インターネット接続系のWSUSはインターネットに接続できない事になります。よって接続する意味がない
結論
特定通信は、外部接続先がインターネット接続していない事が条件で、LGWAN-ASPの利用や閉域網にあるサーバへの接続に限られる
とはいうものの、全て間に受けていたら予算はオーバーしますし、運用は回りません。落としどころを見つけて腹をくくる必要がると考えています。
コメント