Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
個人情報保護法の改正によって、業界問わずこれまで以上に個人情報の保護が重要視されています。個人情報を取り扱うすべての企業は対策強化が求められています。また、民間企業だけでなく、数多くの個人情報・機密情報を保持している自治体など地方公共団体においても同様に対策強化は必至です。しかしながら、地方公共団体の情報漏洩事故は後を絶ちません。
今回は、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」を解説。地方公共団体における情報セキュリティ対策についてご紹介します。
狙われる自治体!ばらつくセキュリティポリシー
自治体の情報漏洩事故として多いのがうっかりミスです。2022年6月、某自治体において、数十万人分の個人情報が入ったUSBメモリを一時紛失するインシデントが発生しました。委託業者が個人情報をUSBメモリで持ち出す際、定められたルールに従った運用が行われていませんでした。さらにこの委託業者は、市側に無断で業務を再委託、再々委託を行っていたことも発覚しています(再々委託業者が漏洩)。このように自治体側が気を付けていても、情報漏洩の可能性があるため、委託業者や関連企業もしっかり対策する必要があります。
次に気を付けるべき情報漏洩はサイバー攻撃です。公的機関の情報漏洩事故といえば、2015年の某公共機関の情報漏洩ではないでしょうか。不審なメールのURLをクリックしたことでマルウェアに感染。その後、数回にわたり攻撃を受け、システムに保管されていた数百万人分の個人情報が漏洩しました。サイバー攻撃は100%防ぎきれないとしても、ここまで大規模な事故となった原因は2つあります。1.平素からルールに基づいて情報を管理できていなかった点。2.初回の攻撃の算段を見誤り初動対応を怠った点。
これらのインシデントは、国が定めた情報セキュリティガイドラインに沿っていれば、ここまで大規模な事故にならなかった可能性があります。
地方公共団体における情報セキュリティポリシーに関するガイドラインとは
国が定めたガイドラインが、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」です。自治体などの地方公共団体に向けた、情報セキュリティの考え方や策定方法が記載されています。物理・人・技術の3つの視点からアプローチするセキュリティ対策が示されており、地域によってばらつきが出る自治体の情報セキュリティに、統一の基準を持たせることを目的に策定されています。初版として2001年に誕生以来、時勢や環境の変化に伴い、改版を繰り返しています。
地方公共団体にセキュリティが必要な理由
自治体などの地方公共団体では、住民の個人情報や企業の経営情報など重要情報を多数保有しています。一般企業では行えない様々な行政サービスを司っているため機密情報も多く、情報セキュリティ対策は非常に重要です。加えて地方公共団体は、組織規模が大きく、関係者・関連組織も多いため、組織全体に同じセキュリティレベルで情報セキュリティ対策を行うには、情報セキュリティポリシーや手順を示すガイドラインが必要となります。
さらに行政業務のICT化も、情報セキュリティを考える上で重要です。昨今、行政業務の効率化としてLGWAN(総合行政ネットワーク)を介してネットワーク接続が可能となることで、業務効率・行政サービスの向上が進んでいます。
例えば住民票や戸籍証明などがコンビニで取得できる等、ICT化により住民の利便性も向上しています。一方で、万が一これらに関連した情報セキュリティインシデントが発生した場合、影響は非常に大きなものとなります。このように、自治体等の地方自治体における情報セキュリティ対策は年々重要度が増しています。
自治体情報セキュリティガイドラインの基本構成
地方自治体など大規模な組織で情報セキュリティを徹底するには、ポリシーを統一する必要があります。情報セキュリティポリシーは「情報セキュリティ基本方針」と「情報セキュリティ対策基準」で構成されています。これらを元にして、各地方自治体は「実施手順」を策定することになります。
地方公共団体セキュリティガイドラインは4編構成となっており、第3編で記載されている考え方と内容を確認し、具体的なイメージをリンクしている第2編を参照しながらポリシー策定を行っていく流れとなります。
ポリシー策定後も改善!PDCAサイクル化が重要
地方公共団体セキュリティガイドラインを元に、情報セキュリティを運用すれば終わりではありません。適宜見直し、改善を行うことが求められています。情報セキュリティを取り巻く環境や脅威は常に変化し続けており、時勢に合わせて対応することで情報セキュリティ対策の水準の向上を図る必要があります。情報セキュリティの「PDCAサイクル」化です。
このサイクル化の折に参照しておきたいのが、総務省が策定している「地方公共団体における情報セキュリティ監査に関するガイドライン」です。情報セキュリティ監査の標準的な監査項目と監査手順を示してあり、地方公共団体が情報セキュリティ監査を実施する際に活用できるガイドラインとなっています。改善の際に、どういった観点で監査や点検を行えばよいかが示してあり、サイクル化の指標にすることができます。
※参照:総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」「地方公共団体における情報セキュリティ監査に関するガイドライン」
地方公共団体に推奨される強靭化
地方自治体ではセキュリティを担保するネットワーク構成として、ネットワーク分離が推奨されています。冒頭で例に挙げた2015年の大規模事故がきっかけで自治体の強靭化が始まります。機密情報を扱う業務はネットワークから分離するというもので、マイナンバー(個人番号)利用事務系・LGWAN接続系・インターネット接続系の3つのネットワークに分ける「三層分離」が支持されました。
そして2020年以降、この「三層分離」の課題である、業務の効率化や利便性向上を目的に見直しが継続的に行われています。地方公共団体セキュリティガイドラインは、このネットワーク分離の元に作成されています。
※参照:「自治体情報セキュリティ対策の見直しについて」の公表
令和4年3月改版の「地方公共団体情報セキュリティガイドライン」
ここからは、令和4年3月に改版された地方公共団体情報セキュリティガイドラインをご紹介します。今回の改版は、令和3年7月の「政府機関等の情報セキュリティ対策のための統一基準群」の改定及び地方公共団体におけるデジタル化の動向を踏まえ、主に4つの改版が行われています。
| 1.業務委託・外部サービス利用時の情報資産の取り扱い | ●業務委託・外部サービスを再定義した上で、取り扱う情報に応じて適切なセキュリティ対策を実施するよう記載 ● 外部サービス利⽤時のライフサイクルに渡るセキュリティ要件や利用承認手続に関する規定を記載 ● 今後のクラウドサービスの活用を見据えて、第三者認証制度や監査報告書をクラウドサービス選定の指標・基準等として、積極的に活用するよう記載を見直し |
|---|
| 2.情報セキュリティ対策の動向を踏まえた記載の充実 | ●不正プログラム対策製品やソフトウェア等を導入するだけではなく、監視体制やCSIRTとの連携等の組織的な対応が必要である旨を記載 |
|---|
| 3.多様な働き方を前提とした情報セキュリティ対策 | ●テレワーク実施場所等の運用面に関するセキュリティ対策を記載 ●支給以外の端末(BYOD)利用時の情報セキュリティ対策として、支給以外の端末に情報を保存させない対策や電子証明書等を用いて庁内ネットワークへ接続する端末を制限する対策を記載 ●Web会議に部外者を参加させない対策を記載 |
|---|
| 4.マイナンバー利用事務系から外部接続先(eLTAX、マイナポータル)へのデータのアップロード | ●リスクアセスメントの結果を踏まえ、マイナンバー利用事務系から外部接続先へのデータのアップロードを認めるとともに、必要となる情報セキュリティ対策を徹底 |
|---|
昨今伸長しているクラウドサービスは、自治体業務においても採用されることが増えており、新たにクラウドサービスならではの、情報セキュリティ対策が必要となっております。他にもサイバー攻撃対策として監視体制を設けるなど、一般企業も対策を強化している事案に関して示されています。
LANSCOPEで守る地方公共団体の情報セキュリティ
ここからは、地方公共団体の情報セキュリティガイドラインに示されているルールを具体的にどのように守ればよいかをご紹介します。PC・スマホを一元管理できるエンドポイントセキュリティ「LANSCOPE」を例に、一部をピックアップしてご紹介します。
| 4.4.職員等の利用する端末や電磁的記録媒体等の管理 | ⑥情報システム管理者は、モバイル端末の庁外での業務利用の際は、上記対策に加え、遠隔消去機能を利用する等の措置を講じなければならない。【推奨事項】 |
|---|
LANSCOPEでは、位置情報を取得することで盗難紛失時の捜索に役立ちます。万が一の場合は、リモートでロック・ワイプが可能で、情報漏えいを未然に防ぐための支援が可能です。万が一外出や帰宅時にPCを紛失してしまった場合も、すぐに対応が打てます。
| 6.1コンピュータ及びネットワークの管理 | (6) ログの取得等 ①統括情報セキュリティ責任者及び情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。 |
|---|
LANSCOPEでは、PCの操作履歴をログとして取得できます。いつ・誰が・何を・どのくらい行ったのかを把握できます。また、特定の検索条件がある場合は、保存することができ、必要な情報をいつでも検索・調査可能です。ログは最大5年間保存が可能です。
| 6.4不正プログラム | ⑤不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。 ⑥不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない |
|---|
弊社が提供する「CPMS」は、AIを活用した次世代型のアンチウイルスです。従来型では検知が難しい未知・亜種のマルウェアやランサムウェアを99%の高精度で検知することが可能です。ディープラーニング(Deep Instinct)・マシンラーニング(BlackBerry Protect)の技術をアンチウイルスに活用しておりシグニチャレスのため、毎日のアップデートは不要です。
他にも、LANSCOPEは、地方自治体の情報セキュリティガイドラインに示してある対策に対応することが可能です。詳しくはホワイトペーパーにてまとめていますので、是非ご一読ください。
関連する記事
