Network Controls
ネットワーク統制
三層分離の遵守状況を保証するファイアウォールルールとルーティング設計
登録 FW ルール
12
ALLOW
6
DENY
5
INSPECT (無害化経由)
1
ファイアウォールルール
| 10 | 住民記録システム | マイナンバー | J-LIS 住基ネット | — | TCP | 443 | ALLOW | — | J-LIS との住民情報連携 | 情報政策課 | 2026-03-15 |
| 20 | 税務システム | マイナンバー | 住民記録システム | マイナンバー | TCP | 1521 | ALLOW | — | 住民情報照会 (課税判定用) | 税務課 / 情報政策課 | 2026-03-15 |
| 30 | マイナンバー利用事務系 * | マイナンバー | LGWAN 接続系 * | LGWAN | ANY | * | DENY | — | 三層分離原則 (αモデル) | 情報政策課 | 2026-04-01 |
| 40 | インターネット接続系メール | インターネット | LGWAN 接続系メール | LGWAN | TCP | 25 / 587 | INSPECT | 要 | メール無害化 (自治体情報セキュリティクラウド経由) | 情報政策課 | 2026-04-01 |
| 50 | LGWAN 接続系 * | LGWAN | LGWAN-ASP (G社) | LGWAN | TCP | 443 | ALLOW | — | グループウェア利用 | 情報政策課 | 2026-03-20 |
| 60 | LGWAN 接続系 * | LGWAN | 介護保険システム (GovCloud) | マイナンバー | TCP | 443 | DENY | — | マイナンバー系はαモデル分離 (直接アクセス不可) | 情報政策課 | 2026-04-01 |
| 70 | インターネット一般 | — | 公式ウェブサイト (AWS) | インターネット | TCP | 443 | ALLOW | 要 | 住民向けサイト公開 (WAF 経由) | 広報課 / 情報政策課 | 2026-03-30 |
| 80 | 公衆 Wi-Fi AP | インターネット | 庁内 LAN | LGWAN | ANY | * | DENY | — | 公衆 Wi-Fi から庁内業務系への侵入防止 | 情報政策課 | 2026-04-01 |
| 90 | 職員業務 PC | LGWAN | 自治体情報セキュリティクラウド (Web 分離) | — | TCP | 443 | ALLOW | 要 | Web 閲覧 (仮想ブラウザ経由) | 情報政策課 | 2026-03-20 |
| 100 | インターネット接続系 * | インターネット | マイナンバー利用事務系 * | マイナンバー | ANY | * | DENY | — | 三層分離 (最重要原則) | 情報政策課 | 2026-04-01 |
| 110 | マイナンバーカード読取機 | マイナンバー | J-LIS 認証基盤 | — | TCP | 443 | ALLOW | — | 電子証明書検証 | 情報政策課 | 2026-03-15 |
| 120 | 職員業務 PC | LGWAN | Meraki クラウド (米国) | — | TCP | 443 | DENY | — | 海外クラウドへの業務 PC 直接接続禁止 | 情報政策課 | 2026-04-01 |
ルーティングテーブル
| マイナンバー | 10.10.0.0/16 | 直接接続 | 直接接続 | - | マイナンバー系 VLAN |
| マイナンバー | 203.0.113.0/24 | 10.10.255.1 (専用 FW) | 静的 | J-LIS 専用ルータ | J-LIS 住基ネット接続 |
| マイナンバー | 198.51.100.0/24 | 10.10.255.1 (専用 FW) | 静的 | LGWAN 境界ルータ (マイナンバー用 VPN) | マイナンバー連携 (地方税等) |
| マイナンバー | 0.0.0.0/0 | BlackHole | デフォルト | - | インターネット向け直接接続は禁止 |
| LGWAN | 10.20.0.0/16 | 直接接続 | 直接接続 | - | 庁内 LGWAN VLAN |
| LGWAN | 10.0.0.0/8 | 10.20.255.1 (LGWAN 境界) | OSPF | LGWAN 境界ルータ | LGWAN 全国接続 (他自治体) |
| LGWAN | 172.16.0.0/12 | 10.20.255.2 (LGWAN-ASP 境界) | 静的 | LGWAN-ASP ゲートウェイ | LGWAN-ASP サービス (G社等) |
| LGWAN | 0.0.0.0/0 | 10.20.255.3 (自治体情報セキュリティクラウド境界) | デフォルト | 自治体情報セキュリティクラウド (都道府県) | Web 閲覧等 (Web 分離環境経由) |
| インターネット | 10.30.0.0/16 | 直接接続 | 直接接続 | - | インターネット系 VLAN |
| インターネット | 0.0.0.0/0 | 10.30.255.1 (ISP ゲートウェイ) | デフォルト | インターネット境界 FW (Juniper SRX) | 一般インターネット接続 |
| インターネット | 52.95.0.0/16 | 10.30.255.4 (AWS Direct Connect) | BGP | AWS Direct Connect ゲートウェイ | 公式ウェブサイト (AWS Tokyo) への専用線接続 |
備考: FW ルールは 3 ヶ月ごとに情報政策課でレビュー。ルーティングは OSPF/BGP で学習する経路が一部含まれ、静的部分のみ本台帳で管理。