【これさえ見ればOK!】地方公共団体における情報セキュリティガイドライン~進め方編~

地方公共団体では、業務で個人情報をはじめとした機密情報を扱う機会が多くテレワークは難しいと考えられていましたが、テレワークを一部の業務で許可する自治体も出てきています。

セキュリティポリシーは組織の情報セキュリティへの考え方や対策基準などを示すもので、環境や働き方の変化に応じて見直す必要があります。また、ポリシーに変更があれば具体的な情報セキュリティ対策の手順にまで落とし込むことが必要です。

本記事では、同ガイドラインの「第1編 総則」を参考に、情報セキュリティの考え方や情報セキュリティポリシーによる情報セキュリティ対策の進め方について解説します。

本記事のサマリ

  • 総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」には、地方公共団体の情報セキュリティの考え方や情報セキュリティポリシー策定の進め方が記載されている
  • 情報セキュリティポリシーは「基本方針」「対策基準」で構成されており、具体的な実施事項を記載した「実施手順」も作成して運用する。
  • 情報セキュリティポリシーは運用後適宜見直し、組織の状況に合わせて実効性を高めていくことが大切。

地方公共団体における情報セキュリティの考え方

地方公共団体では、一般的な企業よりも情報セキュリティに注意しなければならない理由がたくさんあります。
地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考に、地方公共団体における情報セキュリティの考え方について整理してみましょう。

重要な情報・業務が多いため情報セキュリティの徹底管理が必要

地方公共団体は法令等に基づいて住民の個人情報や企業の経営情報等の重要な情報を数多く保有しています。また、行政サービスの中には他の企業・団体などで代替できないものも多いです。地方公共団体の業務は情報システムが浸透しつつあり、より円滑な業務のためにはこれらITインフラの安定稼働が欠かせません。

もしも、情報セキュリティインシデントにより情報漏えいが生じたり、システムやネットワークが停止してしまったりすると、地域住民の生活や地域における社会経済活動に多大な影響が生じる可能性があります。そのため、情報セキュリティ対策をしっかりと行うことが必要です。

各団体での情報セキュリティの向上・維持が求められている

業務効率化やコストダウン、住民の満足度向上などを目的に、電子自治体の実現に向けて取り組む地方公共団体も出てきています。
行政手続きをオンラインで行ったり、高度な情報システムを取り入れたりといった施策が行われていますが、業務における情報システムへの依存度が高まるほど、情報システムのインシデント時の影響が大きくなります
また、地方公共団体は円滑に業務を行うためにLGWANを介してネットワークが相互に接続されています。
そのため、すべての地方公共団体においてセキュリティレベルの向上と維持が求められています。

情報セキュリティ対策は個人情報保護・災害対策につながる

情報漏えいやサイバー攻撃といった情報セキュリティインシデントへの対策に完璧はありません。
そのため、予防だけではなくインシデントレスポンスや再発防止のための仕組みを組織として整備し、よりブラッシュアップされた情報セキュリティ体制を構築することが求められます。
情報セキュリティ対策は個人情報保護や災害対策と重なる部分も多く、情報セキュリティ対策をしっかりと行うことで、団体の情報システムの可用性や完全性を高め、行政サービスを安定供給することができます
そのため、情報セキュリティ担当部署だけでなく、個人情報保護や災害対策を行う部署、これらに協力する担当者などが相互に連携し、組織として対策に取り組むことが大切です。

地域の情報セキュリティ基盤への貢献も求められる

地方公共団体は、自らの情報セキュリティを確保するだけでなく、地域における情報セキュリティ基盤の強化に向けた貢献も求められます。たとえば、地域への啓発活動や注意喚起、民間の企業・団体との連携・協力、情報セキュリティに関する講習や情報提供などです。

情報セキュリティポリシーに関する体系

地方公共団体は組織規模が大きく関係者も多いため、情報セキュリティ対策を徹底するためにも情報セキュリティポリシーを定めて方針や対策を文書として明文化することが必要です。
そして、組織内外の関係者が情報セキュリティポリシーを遵守する必要があります。
情報セキュリティポリシーは、「基本方針」「対策基準」の2つの体系で構成されます。各地方公共団体の情報セキュリティ対策における基本的な考え方を定めるものが、「基本方針」です。「対策基準」では、基本方針に従って、すべての情報システムに共通の情報セキュリティ対策の基準を定めています。
また、対策基準に沿った運用を行うためにシステム要件や手順、手続きなど個別の実施事項を具体的に定めた「実施手順」を定めて運用します。

情報セキュリティポリシーの実施サイクル

情報セキュリティ対策に完全はなく、新しい脅威や対策が次々と出てくるため、情報セキュリティポリシーを運用後適宜改善していくことが必要です。
情報セキュリティポリシーは定めて終わりではなく、策定・導入(Plan)、運用(Do)、評価(Check)、見直し(Action)といった実施サイクル(PDCAサイクル)を回しながら継続的に情報セキュリティ対策のレベルを高めていきます。

情報セキュリティポリシーを作成する際の手順

総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、情報セキュリティポリシー策定の進め方についても示されています。

組織体制の確立

情報セキュリティポリシーは、組織内の様々な部局の情報資産が対象となるため、すべての部局の長、情報システム担当部局及び専門知識を有する者などで構成する組織(以下「情報セキュリティ委員会等」)を作って情報セキュリティポリシーを策定します。
一部の作業は、下部組織(情報セキュリティポリシー策定チーム等)を作って行っても構いません。
組織体制の確立では、幹部職員が参加することや、組織の役割・権限を明確にすることがポイントです。小規模の団体の場合、新規に情報セキュリティ委員会等を立ち上げずに既存の類委組織での実行もできますが、その場合も幹部職員の参加や役割・権限は明確化が必要となります。

情報セキュリティ基本方針の策定

情報セキュリティ基本方針は、地方公共団体における情報セキュリティ対策の基本的な考え方を示します。
目的、対象とする脅威、適用される行政機関や情報資産の範囲、職員等の義務、情報セキュリティ対策基準や実施手順などを明文化します。
情報セキュリティ基本方針は、住民や外部機関に対して公開することが望ましいです。

リスク分析の実施

リスク分析とは、各地方公共団体が保有する情報資産を明らかにし、各情報資産の情報の重要度や生じうる脅威を分析してリスクを評価することです。
リスク分析は、組織の情報セキュリティ対策のマネジメント体制(組織的対策・人的対策)についてまず評価し、その後に各情報資産の現状に対してリスク分析・評価を行うといった順で進めることもできます。
各情報資産のリスク分析・評価では、情報資産の洗い出しと重要度の分類を行い、セキュリティ要求水準を決定します。また、各情報資産における脅威及び脆弱性について調査し、リスクの大きさ(=発生可能性×被害の大きさ)を算出します。リスクの大きさがセキュリティ要求水準より小さくなるような対策基準を策定します。
また、情報セキュリティに関する環境の変化があった場合には、情報資産や情報資産に対するリスクにも変化があります。
たとえば、モバイル端末やクラウドサービス等を利用するようになれば、管理対象としてモバイル端末やクラウドサービスが追加され、保存している情報資産についてもリスク分析・評価が必要です。また、テレワークを認める場合は、端末の盗難・紛失や、内部の職員による不正利用から生じるリスク(情報漏洩やウイルス感染等)についても評価が必要です。
リスク分析に関する具体的な方法については以下を参考にしてください。

■ 参考
・ 総務省「地方公共団体における情報資産のリスク分析・評価に関する手引き
・ サイバーセキュリティ対策推進会議「高度サイバー攻撃対処のためのリスク評価等のガイドライン
・ 内閣官房内閣サイバーセキュリティセンター「高度サイバー攻撃対処のためのリスク評価等のガイドライン 付属書

情報セキュリティ対策基準の策定

リスク分析の結果から得られた情報セキュリティ要求水準の実現に向けて、遵守事項や判断基準等をとりまとめて情報セキュリティ対策基準を策定します。
対策基準は公開することによってサイバー攻撃を受けるリスクが高まるため、非公開にする場合もあります。

情報セキュリティポリシーの決定

情報セキュリティ委員会等により策定された情報セキュリティポリシー(情報セキュリティ基本方針と情報セキュリティ対策基準)について、地方公共団体の長(又はこれに準じる者)の決裁を受けます

実施手順の策定

実施手順は、職員等の関係者が、業務や業務上扱うネットワーク及び情報システムにおいて、情報セキュリティポリシーを実行するための具体的なマニュアルです。
実施手順は目的ごとに作成し、柔軟に見直しを行っていく必要があるため、業務担当課において情報システムや情報資産を管理する人が策定するのが望ましいです。
実施手順はサイバー攻撃のリスクを避けるために非公開にし、組織内で管理します。

情報セキュリティポリシー及び実施手順の周知

情報セキュリティ対策を最終的に実施する職員等に向け、情報セキュリティポリシーの配布や説明会などを行って情報セキュリティポリシーの実効性を高めます
実施手順については、各課部局の責任者が担当者に周知します。

情報セキュリティポリシーは作成後の運用及び評価も重要

情報セキュリティポリシーは作って終わりではありません。
作成後に確実に運用し、状況に合わせて評価・見直しを行うことが大切です。
運用開始後は、情報システムの監視や情報セキュリティポリシーに従った対策が遵守されているかを確認し、情報資産の完全性チェックや情報セキュリティポリシー違反に対して適切に対応されているかをチェックする必要があります。そのため、緊急時対応計画の策定や訓練、同計画の評価・見直し等の実施も必要です。
情報セキュリティポリシーの実効性を確保し、環境変化に対応するためには、情報セキュリティの評価・見直しが大切です。PDCAサイクルを回すために、情報セキュリティ委員会等は自己点検や必要に応じて専門家による監査を実施します。

■ 参考
総務省「地方公共団体における情報セキュリティ監査に関するガイドライン

庁外とのファイル共有にはDirectCloud-BOX

自治体で求められる厳しいセキュリティポリシーに対応し、インターネット接続系の中で外部業者とのファイル共有を行うなら弊社のクラウドストレージ「DirectCloud-BOX」がおすすめです。

大容量ファイルも分割不要で送付できる共有リンク機能

DirectCloud-BOXは、共有リンク機能により大容量ファイルを分割することなく送付することができます。宛先やパスワードの設定やファイルの圧縮作業を何度も行う必要がなくなるため、業務効率化に効果的です。

■ 関連記事
https://directcloud.jp/interview/interview34

誤送信による情報漏えいを防ぐためのリモート削除機能

オプションのDirectCloud-SHELDにはリモート削除機能があり、誤送信した場合でも管理者側でファイルをリモート削除することができるため、重要な情報資産の保護にも貢献します。
また端末紛失時にはデバイス認証やアカウントロックなどを使うことでDirectCloud-BOXへのログインを遮断できます。

ファイルのローカル環境への持ち出しを制限できるアクセルレベル

DirectCloud-BOXでは、アクセスレベルを「閲覧者」「閲覧者+」「編集者-」に設定することで情報資産を端末のローカルディスクにダウンロードさせない権限を付与することもできます
DirectCloud-BOXでは上記3つの権限を含めアクセスレベルを7段階設定できるため、情報セキュリティ対策基準に沿った細かな設定が可能です。

詳細な操作ログ取得により、内部統制の強化が可能

情報セキュリティポリシーに基づく実施手順では情報システムやネットワークに対し、情報セキュリティを確保するために必要なログを記録し、一定期間保存することが求められます。
DirectCloud-BOXでは、83種類の操作ログを取得することができ、不審な操作の監視や不正の発見に効果的です
また、サービスの契約期間中はログが保存され、過去のログを1年単位で絞込検索することが可能です。

データは日本国内のデータセンターで分散保存

DirectCloud-BOXはAWS東京リージョンのデータセンター3拠点にファイルが分散保存されているため、データの保存場所が国内データセンターに指定されている場合でも利用できます。
データセンター拠点内のAmazon S3はストレージ群により99.999999999%の耐久性を誇っており、サーバー稼働率としては99.95%(約4.4時間/年以内の停止時間)を維持しています。その他、通信暗号化やIDS/FWによる不正アクセス防止、サーバーでのウイルス・マルウェア対策など、セキュリティ機能も豊富です。

ユーザー数無制限の高いコストパフォーマンス

これだけの機能を備えていながら、DirectCloud-BOXは、初期費用無料、ユーザー数無制限で利用できます。
追加費用が発生しないため、ユーザー課金のサービスよりも利用規模によっては低コストに抑えることができます。

まとめ

地方公共団体における情報セキュリティポリシーに関するガイドライン」は、情報セキュリティの考え方やセキュリティポリシーの策定手順などについてのガイドラインです。ガイドラインに沿ってセキュリティ対策を進めることで、組織全体で統一されたセキュリティ対策を実施しやすくなります。
情報セキュリティポリシーは策定して終わりではなく、環境や働き方の変化に応じて見直していく必要があります。

第2章の内容が理解できたら、併せて次章以降の記事についてもご確認ください。

■ 「情報資産の分類と管理」の章はこちら
【これさえ見ればOK!】地方公共団体における情報セキュリティガイドライン~情報資産の管理編~

■ 「情報セキュリティ対策基準」の章はこちら
【これさえ見ればOK!】地方公共団体における情報セキュリティガイドライン~アプローチ編~

資料ダウンロード