サイバー攻撃から機密情報を守るにはインターネットとの完全隔離が必要だ─。こうした方針の下、総務省は政府のIT基盤「政府共通プラットフォーム」上で、高セキュリティーを確保した専用区画「セキュアゾーン」を2017年に構築した。ところが利用実績が全くなく、わずか2年で廃止した。対策があまりに強固すぎて利用する側の要件に合わなかった。拠出した予算18億8709万円は無駄遣いに終わった。

 2019年3月、中央省庁が共同利用しているデータセンターのある区画から、ファイアウオールやネットワーク機器などのセキュリティー対策機器がごっそりと撤去された。

 この区画の運用が始まったのは2017年4月。中央省庁が共同利用するIT基盤「政府共通プラットフォーム(政府共通PF)」の中でも、特に高度な情報セキュリティー対策を施した「セキュアゾーン」と呼ぶ専用区画だ。

 本来なら2017年4月の運用開始から複数の行政システムがセキュアゾーンで運用され、区画に用意したラックが次々と埋まっていくはずだった。

 しかし運用開始からの2年間で利用実績はゼロ。構築・運用を担当した総務省はこれ以上の利用が見込めないと判断し、わずか2年で廃止した。

 総務省がセキュアゾーン向けに確保した予算は2023年までの5カ年運用分で総額23億6633万円に上る。機器などのリース契約を短縮して支出を途中で止めたものの、予算の約8割にあたる18億8709万円を消化済みだった。

 総務省がセキュアゾーンをひっそりと廃止した事実は会計検査院の検査で明らかになった。会計検査院は2019年10月28日、一連の経緯と問題点を指摘した報告を公表した。報告では「計画を作る前に実需を把握し費用対効果を検討するべき」などと指摘し、再発を防ぐための是正改善を勧告した。

 どの省庁も利用しないセキュアゾーンが、なぜ作られてしまったのか。

年金情報流出で「分離が必要」

 セキュアゾーンを構築したきっかけは、2015年5月に発生した日本年金機構へのサイバー攻撃に遡る。職員を狙った標的型メール攻撃によって機構内のパソコンがマルウエアに感染。外部からの遠隔操作により、機構が運用する社会保険オンラインシステムから最大125万件の個人情報が流出した。

 事件を受け、政府高官や有識者からなる内閣官房の「サイバーセキュリティ対策推進会」が動いた。同年夏の会合で議長を務めた杉田和博内閣官房副長官(当時)が「行政システムで機微な情報を扱う部分とインターネットなどを分離する」などの対策を指示した。

 この方針を受けて、政府は新たなセキュリティー対策の導入を具体化した。2015年末にまとめた補正予算案で、国や自治体、独立行政法人が実施する様々なセキュリティー強化策として520億円の拠出を盛り込んだ。

 省庁横断で多数の行政システムが稼働していた政府共通PFのセキュリティー対策費用もこの中に含めた。職員が利用する端末も含めてインターネットとの分離を徹底した区画を設ければ、議長指示通りの高度なセキュリティー強化策が実現できる。総務省はこう考え、政府共通PFの中に特に機微な情報を扱う専用区画を設ける方針を固めた。2016年1月の補正予算成立から、この方針に従う「セキュアゾーン」の要求仕様作りに着手した。

図 総務省が構築したセキュアゾーンの概要
他のシステムと完全に分離しセキュリティーを強固に
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら