あの125万件の流出から10年：自治体のネットワークとα’モデル

住民サービスを支える重要な基盤である自治体ネットワークは、今、大きな転換期を迎えています。本記事では、その鍵となる総務省の新しいモデル「α’モデル」と、その実現を可能にするクラウド型基盤「Allied SecureWAN」について、メリットと導入事例を交えて解説します。

これまでの自治体ネットワークと課題

自治体のセキュリティ対策が大きく変わったきっかけは、2015年に発生した日本年金機構における大規模な情報漏えい事件です。この事件は、公的機関の情報セキュリティ対策のあり方を根底から見直すことになった、非常に重要な出来事です。

日本年金機構の情報漏えい事件とは

この事件では、約125万件の年金情報が外部に流出し、被害は全都道府県にわたる100万人以上に及びました。
なぜ、これほどの被害が生じたのか――その背景には、情報システム上のセキュリティの甘さと「標的型攻撃メール」による不正アクセスという2つの要因が重なったことがあります。

被害拡大の原因：システム設計上の問題

日本年金機構は独立行政法人であり、かつて年金や保険を管理していた社会保険庁の業務を引き継いで設立されました。

当時の日本年金機構は、国民の年金に関する情報を扱っているにもかかわらず、標的型攻撃をはじめとしたサイバー攻撃への危機意識が不足していました。情報の機密性を高めるためのルールとして、ファイルサーバーに個人情報を保存する場合にはパスワードをかけるなどの規定はありましたが、徹底が図られていなかったのです。
そのうえ、当時のシステムは、職員がインターネットに接続する環境から、年金加入者の個人情報が保存されているサーバーへ簡単にアクセスできるネットワーク構造になっていました。

侵入のきっかけ：標的型攻撃メール／フィッシングメール

そんなサイバー攻撃に対するリスクをはらむ中、一通のメールが西日本のとある職員のもとに届きます。

件名には、「厚生年金」「制度」「試案」といったキーワードがちりばめられ、クリックを誘導するリンクが設置されていました。行政のやり取りで頻出しそうなキーワードに、その職員は何ら疑問も持てず、メールを開封しリンク先にあるファイルを開いてしてしまいました。

ここから、話は急展開を迎えます。
一時はシステムの運用委託会社の介入で、閲覧したファイルは、リスクはあるものの「外部に情報を漏えいするタイプではない」との報告を受け、収束したと判断されました。
この判断をもとに全職員へ注意喚起のメールが送られましたが、内容は当該メールの削除指示に限られ、誤って添付ファイルを開封した際の対処などの記載などはありませんでした。

しかしその数日後、本来非公開となっている職員のメールアドレス宛てに、数日にわたり大量の不審なメールが届きます。注意喚起メールの効果はむなしく、ごく少数ではありますがメールを開封、添付ファイルを開いてしまったのです。そのうち一部の職員のパソコンが、メールに添付されていたファイルを経由してマルウェアに感染し、管理者権限が窃取されてしまいました。

被害の全容：個人情報の流出

たった数台のパソコンがマルウェアに感染しただけ、しかしこれをきっかけに、感染はパソコンからパソコンへと広がっていきました。結果的に30台弱がウイルスに感染したことで、外部に約125万件の基礎年金番号や氏名といった個人情報が流出してしまったのです。

当時の日本年金機構では、本来ファイルサーバーにやむを得ず個人情報を保存する場合には、パスワードをかける運用だったものの守られておらず、流出した約125万件のうち55万件はパスワードがかかっていない状態でした。
さらに、サイバー攻撃への人員・技術的な備えが不足していたことで、攻撃後に感染したパソコンをネットワークから遮断するまでに時間がかかってしまいました。もし遮断が迅速に行われていれば、被害は大幅に抑えられていた可能性もあります。

このように、攻撃の手口と運用・設計上の問題が重なったことで、被害は全国規模に拡大してしまったのです。これは公的機関としては過去最大級の被害です。

三層分離の登場

この年金機構の事件を受け、地方自治体の情報セキュリティを抜本的に強化するために、総務省は2015年11月、「三層分離」という仕組みを提示し全国の自治体が導入を進めていきました。
「三層分離」とは、自治体のネットワークを、機密性に応じて系統を3つに分離するセキュリティ対策です。

1. マイナンバー利用事務系
   マイナンバー（個人番号）など、最も機密性の高い情報を扱う系統。インターネットには一切接続しません。
2. LGWAN接続系（内部系）
   職員が日常の業務（住民票の発行など）を行うための系統。セキュアな地方公共団体専用の閉域ネットワーク（LGWAN）に接続し、インターネットからは完全に切り離されています。
3. インターネット接続系
   職員がホームページの閲覧や、メールの送受信を行うための系統。最低限の情報しか持たせず、万が一マルウェアに感染しても、他の系統に被害が及ばないように隔離されています。

これにより、最も重要な情報が保存されている系統がインターネットから物理的・論理的に切り離され、高い安全性を実現しました。これが、当時の最善策でした。

課題：業務効率の低下と柔軟な働き方の難しさ

「三層分離」の仕組みは、情報漏えい防止に極めて有効だった半面、同時に業務効率や働き方の柔軟性において大きな課題も浮かび上がってきました。

利便性の低下

インターネットと業務のネットワークが完全に分かれているため、「インターネットで見つけた情報を、業務のパソコンに取り込む」といったごく普通の作業すら、無害化処理をするなどの複雑な手順が必要になり、業務効率が低下しました。

新しい働き方とのギャップ

クラウドサービスの利用やテレワークなど、インターネット接続が前提となる新しい働き方への対応が非常に難しくなりました。

高い安全性を実現した一方で、時代とともに進化する技術や変わりゆく働き方に対応できなくなったり、自治体ネットワークは新たな仕組みへの移行が求められていきました。

進化するネットワークモデルの比較

この課題を受け、総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定し、複数のネットワークモデルを順次提示していきます。三層分離モデル（αモデル）を皮切りに、利便性を高めるβ・β’モデル、そしてDX推進を可能にするα’モデルへと進化しています。

αモデル（従来のモデル）

「三層分離」の原則を踏まえつつ、2016年に提唱されたαモデルは、セキュリティを重視して設計されています。
その構成の特徴から「三層分離モデル」とも呼ばれています。

• 特徴： ネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つの層に物理的・論理的に完全に分断する構造です。
• メリット： インターネットと機密情報が厳重に隔離されるため、情報漏えいリスクが極めて低いという利点があります。
• デメリット： 業務用のパソコンとインターネットを使えるパソコンが別々になっているため、利便性が著しく低く、パソコンをまたいだデータの受け渡しに手間がかかります。クラウドサービスの利用やテレワークといった新しい働き方には不向きです。

β／β’モデル

αモデルの利便性の課題を解決するために考案された、安全性と利便性の両立を目指す次世代モデルです。
β/β’モデルと呼ばれるこの構成は、2020年12月のガイドライン改訂で新たに提唱されました。

• 特徴：ネットワークを「機密系」と「業務系」の2層に再編します。高度なセキュリティ対策を講じことで、業務系のネットワークからインターネットに直接接続することができるようになりました。
• β／β’モデルのちがい：βモデルは業務システムの一部をインターネット接続系に移行しますが、β’モデルは財務会計や人事給与などの重要なシステムを含むすべてをインターネット接続系に移行します。
• メリット：クラウドサービスを円滑に利用できるため、業務効率が大幅に向上します。テレワークなどの多様な働き方に柔軟に対応できます。
• デメリット：インターネットへの接続を許可することは、ネットワークの境界や端末側で従来のモデルよりも高度なセキュリティ対策の導入や外部監査への対応が求められるため、構成や設定変更、新たなセキュリティ対策に伴う費用など、工数・経費の両面でコスト負担が発生します。

α’モデルという新たな選択肢

α’モデルは、αモデルにおける堅牢なセキュリティを維持しつつ、DXに不可欠なクラウドサービス利用を可能にするために提唱されました。なお、αモデルだけでなくβ／β’モデルの課題を解消し、安全性と利便性を両立できるため、自治体にとって現実的な選択肢になりつつあります。
このモデルは、2024年10月のガイドライン改定で正式に位置づけられました。

まとめると、αモデルは「守りを重視した普及型」、βモデルは「クラウド時代を見据えた理想型」と言えます。自治体は自らの規模や予算、業務の特性に応じて、どのモデルを採用するのか慎重に考える必要があります。そして、こうした背景を踏まえて新たに示されたのが、「α’モデル」です。

α’モデルの構成とセキュリティ対策

α’モデルでは、基本的に従来の三層構造を維持しつつ、特定の条件を満たした場合にのみ、LGWAN接続系からインターネット上のクラウドサービスへ直接接続することを許可しています。

• 接続先の限定：接続が許可されるクラウドサービスは、国が定める高い安全性基準をクリアしISMAPに登録されているサービスなどに限定されています。
• セキュリティ対策：セキュリティリスクを低減するための対応として、アクセス制御や通信路暗号化、ファイル無害化などの技術的対策に加え、定期的に外部監査を実施する必要があります。

利便性がローカルブレイクアウトで向上

このα’モデルがもたらす最大のメリットは、セキュリティを担保しつつ職員の利便性を大きく向上させる点です。

1. クラウドサービスへの直接接続（ローカルブレイクアウト）が可能に
   従来のαモデルでは、職員がクラウドサービスを利用する場合、インターネット接続系から自治体情報セキュリティクラウドを経由するか、LGWAN-ASPを利用する必要がありました。α’モデルでは、安全性が確認されたクラウドサービスに限り、LGWAN接続系から直接接続するローカルブレイクアウトが可能になります。
2. 通信遅延の解消
   従来の経路（セキュリティクラウドなど）を経由することで生じていた通信の遅延が解消されます。これにより、職員はストレスなくクラウド上のサービスやアプリケーションを利用できるようになり、自治体全体の業務効率が大きく向上しました。

α’モデルは、「セキュリティ対策」と「クラウドサービスの利活用」の両立を図る、自治体DXにおける重要な一歩となります。

柔軟なネットワーク基盤を構築するために

α’モデルへの移行、さらには将来的なゼロトラスト基盤への対応を見据えるには、柔軟なネットワーク基盤が不可欠です。

こうしたニーズに応えるのが、アライドテレシスの提供する「Allied SecureWAN」です。クラウドUTMやSASE（Secure Access Service Edge）の考え方を取り入れたネットワーク基盤で、ローカルブレイクアウトを実現します。
ここでは、「Allied SecureWAN」の特徴を簡単にご紹介します。

スモールスタート

• 既存のαモデル環境を活かしながら、必要な機能から導入・拡張が可能です。
• 移行期におけるコストや工数の負担を最小限に抑えられます。

運用負荷の軽減

• ネットワーク監視やセキュリティ対策をクラウド側で代行することで、IT人材が不足する自治体の運用負荷を大きく軽減します。

自治体DXを推進する――導入事例

「Allied SecureWAN」は、セキュリティを維持しつつクラウド活用を拡大したいという自治体のニーズに応えています。

石川県加賀市（人口：約6.2万人）

香川県三豊市（人口：約5.7万人）

香川県丸亀市（人口：約10.7万人）

まとめ――自治体ネットワークの未来に向けて

自治体ネットワークは、年金機構事件を契機に導入された三層分離によって、強固な「守り」を築いてきました。しかしその一方で、DXやクラウド活用の推進においてはいまだ「利便性の壁」があり、対応が求められています。

この課題に対する現実的な第一歩として、2024年10月に総務省が改定したガイドラインで示された「α’モデル」が注目されています。これは、LGWAN接続系から安全にクラウドサービスへ直接接続できるローカルブレイクアウトを許可するもので、セキュリティと利便性の両立を目指す重要な転換点です。

しかし、庁内ネットワークの進化はこれで終わりではありません。2030年を見据えた未来では、行政サービスを支えるネットワークは「すべてを信用しない」ゼロトラストの考え方がセキュリティの基盤となります。

ゼロトラストへの移行は、防御の強化にとどまらず、認証制度の普及を通じて行政サービスのデジタル化を促進し、職員がより市民や地域に役立つ業務に集中できる環境を実現します。庁内ネットワークは、「守るための仕組み」から「成長と変化に対応できる仕組み」へと進化しているのです。

今、自治体に求められているのは、2030年の未来を見据え、現実的かつ柔軟な選択肢を持ち、それを実行に移す戦略的な意思決定ではないでしょうか。