「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、総務省が制定した地方公共団体向けの情報セキュリティ対策の指針です。令和6年10月に行われた最新の改定では、クラウドサービスの利用に対する対応、業務委託先管理の強化、機密性分類基準の見直し、サイバーレジリエンスの強化等、の項目が盛り込まれました。本記事では、「地方公共団体における情報セキュリティポリシーに関するガイドライン」改定ポイントの中でも、特にサイバーレジリエンスの強化等についてご紹介します。
目 次
【令和6年10月改定】 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定ポイントとは
「地方公共団体における情報セキュリティポリシーに関するガイドライン」を解説します。また、ガイドラインに対応する上で、利用可能なLANSCOPE の製品及び機能をご紹介します。
「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは
「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは、総務省が制定した地方公共団体における情報セキュリティの策定・見直しのためのポリシーを解説するガイドラインです。
地方公共団体は、住民の個人情報や企業の経営情報などの重要な情報を多数保有しているという点だけでなく、他に代わりがない行政サービスを提供している点からも、住民の生活や地域の社会経済活動を守るために、情報セキュリティ対策を講じて情報を保護し、業務を継続することが求められています。
また、今後、各種手続きのオンライン化や情報システムの高度化が進むことで、行政サービスのWeb対応も発展していくことが考えられます。これらの発展は非常に便利な一方で、情報システムが停止した場合、広範囲の業務が継続できなくなり、住民生活や地域の経済・社会活動に重大な影響を与える可能性が高まります。また、地方公共団体はLGWANなどのネットワークで相互に接続されているため、一部の団体で発生したIT障害が他の団体に連鎖的に広がるリスクもあります。
これらの理由から、地方公共団体では情報セキュリティ対策のレベルを一層強化することが求められています。各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考として、「地方公共団体における情報セキュリティポリシーに関するガイドライン」があります。ガイドラインの内容は、地方公共団体が置かれている環境や時勢に合わせて随時改定が行われています。
参考:地方公共団体における情報セキュリティポリシーに関するガイドライン(令和6年10 月版)
令和6年10月の改定ポイント
令和5年に内閣サイバーセキュリティセンター(NISC)の政府統一基準の改定が行われました。この政府統一基準では国・政府機関に必要なセキュリティ対策を規定しており、その改定に合わせて地方公共団体の情報セキュリティに関する指針を策定する必要があることから、統一基準の改定内容をガイドラインにも反映させています。
「地方公共団体における情報セキュリティポリシーに関するガイドライン」における、令和6年10月の改定ポイントは以下の通りです。
<令和6年10月の改定ポイント>
| 1 | クラウドサービスの利用に対する対応 | ・リスクアセスメントの結果を踏まえ、Web会議等の目的で、LGWAN接続系の業務端末からインターネット経由で、特定のクラウドサービスを安全に利用するための対策(アクセス制御等)をα‘モデルとして規定。 |
|---|---|---|
| 2 | 業務委託先管理の強化 |
・「政府機関等のサイバーセキュリティ対策のための統一基準」(政府統一基準)の改定内容に沿って、委託事業者に実施させるセキュリティ対策の定期的な確認や、業務委託契約時、委託実施期間中、終了後について、地方公共団体が講じるべき措置や委託事業者に求めるべき対策をそれぞれ規定。 ・業務委託の契約項目として、個人情報漏えい防止のための技術的安全管理措置に関する取り決めを新たに規定し、具体例を交えた解説や、契約不適合責任に関する民法の規律に関する解説を追加。 |
| 3 | 機密性分類基準の見直し |
・地方公共団体が扱う住民の個人情報の量や種類、頻度が大きく重要であることから、現行ガイドラインと同様に、個人情報を自治体機密性3情報に分類した上で、自治体機密性3の情報を、国の機密性分類(政府統一基準)等を参考に3つ(3A、3B、3C)に細分化し、国の機密性分類との対応関係を明確にする。 ・国の機密性分類と区別するため「自治体機密性」の名称を新たに用いる |
| 4 | サイバーレジリエンスの強化等 |
・サイバー攻撃を受けることを念頭においた対策の強化や、サービス不能攻撃(DDoS攻撃)を踏まえた対策について記載。 ・ゼロトラストアーキテクチャを実現する機能の一部と考えられる「動的なアクセス制御」について、政府統一基準の内容を解説に記載。 |
次項からは改定ポイントの中でも、「サイバーレジリエンスの強化等」をピックアップしてご紹介します。
「サイバーレジリエンスの強化等」でやるべきことは?
| 4 | サイバーレジリエンスの強化等 | ・サイバー攻撃を受けることを念頭においた対策の強化や、サービス不能攻撃(DDoS攻撃)を踏まえた対策について記載。 |
|---|
重要インフラに対するサイバー攻撃は増加傾向にあり、企業だけでなく多くの地方公共団体がサイバー攻撃の被害に遭っています。これらの攻撃を想定した対策の強化が求められています。
サイバー攻撃を踏まえた対策の具体例
-
OSやソフトウェアのアップデートや最新のパッチ適用
既知の脆弱性を修正し、攻撃者が悪用できるセキュリティホールを塞ぐことで、サイバー攻撃のリスクを低減し、システムの安全性を向上することができます。 -
多要素認証の導入やパスワード管理など、不正ログイン対策
多要素認証とは、2種類以上の認証情報を活用してログインを行う認証方法です。認証プロセスを複雑化することで、不正ログインのリスクを下げることができます。 -
セキュリティソリューションの導入
エンドポイントへの侵入を防ぐ「EPP(ウイルス対策ソフト)」や、ネットワークに侵入してしまった脅威を検知・対応する「NDR (Network Detection and Response)」などを導入することで、脅威を検知し迅速に対応できます。 -
職員へのセキュリティ教育の実施
日頃から職員のセキュリティ教育を行い、セキュリティ意識を高めることで、人的ミスや不注意によるセキュリティリスクを減少することができます。
さらに昨今では、複数の端末から攻撃対象のサーバーに対して意図的に大量のパケットを送信し、相手のサーバーやネットワークに膨大な負荷をかけてダウンさせる「DDoS攻撃(分散サービス拒否攻撃)」についても被害が拡大しています。
DDoS攻撃に有効なセキュリティ対策として、主に次の4つの方法が考えられます。
-
サーバー設定を見直す
同一IPアドレスからのアクセス回数を制限するなど、同じ接続元からの連続アクセスを防止することで、DDoS攻撃を防ぐことができます。 -
海外に割り当てられたIPアドレス通信を遮断する
DDoS攻撃は、海外を起点としたものが多くあります。国内向けのサービスであれば、海外に割り当てられたIPアドレス通信を遮断することで、海外起点のアクセスを遮断し、DDoS攻撃を回避しやすくすることが可能です。 -
CDNの導入
CDN (Contents Delivery Network)とは、大量のデジタルコンテンツを、迅速にユーザーへ配信するためのシステムを指します。Webサイトへの負荷を分散させ、サーバーダウンの発生を緩和することができます。 - 平常時からのトラフィック監視と対応
DDoS攻撃を受けた場合、平常時と比較して異常な量の通信が起こるため、トラフィック監視を行っていれば迅速に初動対応に移ることができます。DDoS攻撃の詳細については下記記事で詳細を解説しています。
| 4 | サイバーレジリエンスの強化等 | ・ゼロトラストアーキテクチャを実現する機能の一部と考えられる「動的なアクセス制御」について、政府統一基準の内容を解説に記載。 |
|---|
ゼロトラストアーキテクチャとは、すべてのユーザーやデバイスを信頼せず、情報資産への全アクセスに対して検査・認証を行う「ゼロトラスト」に基づき、組織のシステムやデバイス、データなどのリスクを最小限に抑えるためのセキュリティ対策の考え方です。
そのセキュリティ対策の一つとして、「動的なアクセス制御」が挙げられています。これは、状況に応じてアクセス制御の条件をコントロールすることです。ガイドラインでは、さらに「動的なアクセス制御」を実装する場合には、特に以下の対策が必要であると記載しています。
-
動的なアクセス制御における責任者の設置
統括情報セキュリティ責任者は、複数の情報システム間で動的なアクセス制御を実装する場合は、複数の情報システム間で横断的な対策の企画・推進・運用に関 する事務の責任者として、情報システム管理者を選任すること。 -
動的なアクセス制御の導入方針の検討
情報システム管理者は、動的なアクセス制御を導入する場合、動的アクセス制御の対象とする情報システムのリソースを識別し、動的なアクセス制御の導入方針を定めること。 -
動的なアクセス制御の実装時の対策
・情報システムセキュリティ責任者は、動的なアクセス制御の実装に当たり、リソースの信用情報の変化に応じて動的にアクセス制御を行うためのアクセス制御ポリシーを作成すること。
・情報システムセキュリティ責任者は、アクセス制御ポリシーに基づき、動的なアクセス制御を行うこと。
出典:地方公共団体における情報セキュリティポリシーに関するガイドライン(令和6年10 月版)
ゼロトラストアーキテクチャ、および動的なアクセス制御については、「政府機関等のサイバーセキュリティ対策のための統一基準 (令和5年度版)」にも詳しく記載されています。
参考:内閣サイバーセキュリティセンター(NISC) 「政府機関等のサイバーセキュリティ対策のための統一基準群」
LANSCOPEで対応できる「地方公共団体における情報セキュリティポリシーに関するガイドライン」の項目は?
ここからは、「地方公共団体における情報セキュリティポリシーに関するガイドライン」に示されている項目の中でも、特に令和6年10月の改定に関連する項目について、どのように守っていけばよいかをご紹介します。
<LANSCOPE サイバープロテクション(EPP・EDR)で対応できる項目>
| 5.人的セキュリティ |
|---|
| 5.3情報セキュリティインシデントの報告 |
|
(3) 情報セキュリティインシデント原因の究明・記録、再発防止等 ①CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行わなければならない。 |
| 6.技術的セキュリティ |
| 6.4不正プログラム対策 |
|
(1) 統括情報セキュリティ責任者の措置事項 ④所掌するサーバー及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。 ⑤不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。 ⑥不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。 |
「LANSCOPE サイバープロテクション」は、AIを活用した次世代型のアンチウイルス対策ツールです。従来型では検知が難しい未知・亜種のマルウェアやランサムウェアを99%(※1)の高精度で検知することが可能です。検知エンジンは「CylancePROTECT」「Deep Instinct」の2種類から選択できます。攻撃を受ける前に止める事ができ、なぜ攻撃を受けてしまったのか原因をクリックだけで調査することができます。(※2)
※1 CylancePROTECT:2024年5月 Tolly社のテスト結果より
Deep Instinct:Unit221B社調べ
※2 EDRは CylancePROTECTのみ
<Darktrace( NDR )で対応できる項目>
| 3.情報システム全体の強靭性の向上 |
|---|
| (3) インターネット接続系 |
| ①インターネット接続系においては、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。 |
| 6.技術的セキュリティ |
| 6.5不正アクセス対策 |
|
(7) 標的型攻撃 統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策(入口対策)や内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。 |
AI 型ネットワーク脅威検知「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集することで、企業のもつネットワーク全体の通信状況を可視化し、異常な挙動を検知するセキュリティ製品です。
Darktraceによって検知した異常な通信を自動的に関連付け、相関分析を行う「AIアナリスト」機能や、不審な通信を検知した際に、対象通信の自動遮断を行う機能により、サイバー攻撃による被害を最小限に抑制します。
他にも、「地方公共団体における情報セキュリティポリシーに関するガイドライン」に示される対策に対応することが可能な製品・サービスをご提供しています。詳しくはホワイトペーパーにまとめていますので、是非ご一読ください。
【令和6年10月改定】 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定ポイントとは
「地方公共団体における情報セキュリティポリシーに関するガイドライン」を解説します。また、ガイドラインに対応する上で、利用可能なLANSCOPE の製品及び機能をご紹介します。
