【これさえ見ればOK!】地方公共団体における情報セキュリティガイドライン~アプローチ編~

総務省はまだまだ自治体によってバラツキがある地方公共団体の情報セキュリティ基準を整えていくために、各種のガイドラインを提供しています。
2020年に公開された「地方公共団体における情報セキュリティポリシーガイドライン」は、物理的・人的・技術的なセキュリティ対策を網羅しており、セキュリティ体制の整備に非常に役立つ指針となっています。

本記事では、同ガイドラインに記載されている情報セキュリティのアプローチについて解説します。

「第1編 総則」、「情報資産の分類と管理」の章をまだ確認していないという方は、こちらで詳しく解説しています。

■「第1編 総則」はこちら
【これさえ見ればOK!】地方公共団体における情報セキュリティガイドライン~進め方編~

■ 「情報資産の分類と管理」の章はこちら
【これさえ見ればOK!】地方公共団体における情報セキュリティガイドライン~情報資産の管理編~

本記事のサマリ

  • 物理的セキュリティ対策とは情報システムの破壊や紛失、不法侵入など物理的なリスクへの対策で、サーバーやネットワーク、管理区画への対策を実施する必要がある。
  • 人的セキュリティ対策とは人間のミスや故意から発生するセキュリティリスクへの対策で、職員だけでなく非常勤職員、臨時職員や外部委託事業者等についても対策が必要である。
  • 技術的セキュリティ対策とは不正利用の検出や発見のための機能の導入や、アクセス制御、ログ監視などの対策を行うことで、不要なWeb閲覧の制限や許可のないソフトの利用制限も含まれる。

自治体で取り組むべき物理的セキュリティ

物理的セキュリティとは破壊、紛失、不法侵入、災害といった物理的なリスクに対するセキュリティ対策です。
地方公共団体の場合、サーバーや情報システム室、ネットワーク、職員の端末等が対象となります。

サーバー管理

職員や地域住民にさまざまなサービスを提供するためのサーバー等のハードウェアは、情報システムを安定的に運用し、業務やサービスの継続性を確保するためにしっかりとした管理が求められます
具体的には、温度や湿度、振動などの影響を受けにくい環境に配置し、容易に取り外せないようにしっかりと固定することが求められます。
また、サーバーの冗長化を行って可用性を高め、停電や過電流などの電源異常への対策も行います。機器間のケーブルなども適切に配置し、業者を含む担当者以外が勝手に配線の追加や変更ができないようにすることも大切です。
情報システムを構成する機器は定期保守や修理を行ってセキュリティやパフォーマンスを維持するように努め、機器の廃棄の際には、機器内部の記憶媒体から情報を確実に消去するための措置を講じるようにします。

管理区域(情報システム室等)の管理

サーバーや各種の記憶媒体が保管されている情報システム室等の管理区域は盗難や損傷等による被害が大きくなる恐れがあるため、適正な管理が求められます

管理区画は、浸水や漏電を避けるために2階以上に設置し、外部からの侵入や覗き見を防ぐため、窓がなく床下から天井まで壁で覆われた場所とします。
また、出入り口を1つに制限して施錠を行い、厳格に入退室管理を行います。また、災害に備えて耐震、防火、防水などの措置を講じることも必要です。
機密性の高い情報資産を扱うシステムを設置している管理区画には、当該情報システムに関連しない、または個人所有のコンピュータ・モバイル端末・通信回線装置・電磁的記録媒体等の持ち込みは制限します。
また、外部の業者に管理区画内の作業を依頼する場合は作業に職員が立ち会うことが必要です。

通信回線及び通信回線装置の管理

通信回線及び通信回線装置については情報システムへの影響が大きいため、適正な管理が求められています
通信が停止したり盗聴が行われたりする状況だけでなく、パフォーマンスの低下にも備えることが必要です。

具体的には、通信回線及び通信回線装置に関する文書を適切に保管することや、外部へのネットワーク接続の限定、適切な品質の回線を選択することや、回線の冗長化、通信経路のセキュリティ対策が求められています。

職員等の利用する端末や電磁的記録媒体等の管理

職員等が利用する端末や記録媒体が管理されていない場合、不正利用や紛失、盗難、情報漏えいなどが生じるリスクがあります

パソコンやモバイル端末の盗難や紛失に備えて生体認証やディスクの暗号化といった対策を併用することや、モバイル端末に遠隔削除の仕組みを取り入れるといった対策が必要としています。

物理的なセキュリティ対策の不備でインシデントに発展した事例

物理的なセキュリティ対策の不備によって生じた大きなインシデントとしては、1999年の宇治市住民基本台帳データ大量漏えい事件や、2019年に起こった神奈川県庁が委託した廃棄事業者によるHDD情報流出事件が有名です

宇治市の事件では、住民基本台帳のデータ21万7617件分が、民間業者の持ち込んだ光磁気ディスクによって外部に流出し、名簿業者によってインターネット上で販売されました。
業者の委託先などの管理が不十分だった、重要な情報にパスワードや暗号化が施されていなかったなどの問題もありますが、物理的セキュリティの観点ではアルバイト従業員が持ち込んだ光磁気ディスクによって情報が窃取されていることから、作業への立ち会いや記録媒体への持ち込み禁止などの措置が不足していたことがわかります。

神奈川県庁の事例では、リース満了に伴って返却されたHDD504台のうち、18本が廃棄業者によってオークションで出品され、落札されたHDD内のデータには個人情報や重要情報も含まれていました。
県では、「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」とし、データ消去証明書の提出は求めていましたが作業の立ち会いまでは行われていませんでした。
また、重要な情報を含むディスクに対して暗号化が行われていなかった点なども問題です。

こうしたインシデントを防ぐためにも、管理区画への入室者管理や記録媒体の持ち込み制限、外部委託業者の把握や立ち会いといった物理的セキュリティ対策を定め、適正に運用することが大切です。

自治体で取り組むべき人的セキュリティ

人的セキュリティ対策とは、人間のミスや故意から発生するセキュリティリスクへの対策です。
地方公共団体においては、職員だけでなく非常勤職員、臨時職員や外部委託事業者等についても対策を行っていく必要があります。

職員等の遵守事項

職員や非常勤職員、臨時職員、外部委託事業者といった区分ごとに、それぞれに適用するルールを定めたり、団体の情報セキュリティポリシーの遵守を徹底させたりする必要があります。
委託先が再委託する場合についてのルールも定めておくことが大切です。

研修・訓練

情報セキュリティ対策の必要性と内容を職員が十分に理解し、実施できるようにするために、定期的に研修や訓練を行います
職員に最新の情報セキュリティに関する状況を理解してもらって意識向上をはかるとともに、緊急時の対応についても訓練しておくことが大切です。

情報セキュリティインシデントの報告

インシデントは予防できるのが一番ですが、完全な予防はできないことから、インシデント発生時における責任者への報告義務や報告体系を定めておく必要があります。
セキュリティインシデントは職員からの報告だけでなく、地域住民のように外部からの報告で発覚することもあるため、ケースを分けて対応手順を定めておきます。

ID及びパスワード等の管理

情報システムを利用する際のIDやパスワード等の認証情報や認証に使用するIC カード等の媒体の管理ルールを定め、遵守させるようにします
人的な原因から認証情報は漏えいしやすいため、認証情報の発行から管理、廃棄にいたるまでルールを定めていくことが必要です。

人的なセキュリティ対策の未実施でインシデントに発展した事例

2019年に、佐賀県玄海町の住民福祉課長が全町民数にあたる約6300件の個人情報を不正コピーした容疑で逮捕される事件がありました
2017年に不正コピーを行っていたとのことですが、その他にも別件で押収されたPCやスマートフォンからは35万件にわたる町役場の内部資料が見つかったそうです。

2018年、静岡県島田市では業務での使用が禁止されているフリーメールを複数の職員が使用しており、メールアカウントが不正アクセスを受けて約2,400名分の個人情報や補助金申請情報などが流出する事件がありました

どちらの事例も、情報セキュリティポリシーが遵守されておらず、また監視するための体制も不十分であったと考えられます。ルールを定めて終わりではなく、継続的な教育や運用によって組織内に浸透させていくことが大切です。

自治体で取り組むべき技術的セキュリティ

情報システム等が不正に利用されないようにすると共に、不正利用時の証拠を残すためにログの管理やシステム管理記録の作成、バックアップ、無許可ソフトウェアの導入禁止、機器構成の変更禁止といった技術的なセキュリティ対策を行う必要があります。

コンピュータ及びネットワークの管理

業務で利用するコンピュータやネットワークにおける情報セキュリティリスクを低減するため、端末やネットワークにおけるログの記録や保存、ファイルサーバーなどへのバックアップの実施、運用記録や仕様書の適切な管理を行います
また、複合機やテレビ会議システム、ネットワークカメラなどのネットワーク接続機器についても適切なセキュリティ対策を施すことが必要です。

また、扱う情報ややり取りを行う対象を考慮した上でネットワークを適切に設計し、必要に応じて暗号化や本人認証などの高度なセキュリティ対策を導入します。メールサーバーについては、電子署名による対策を行い、通信の暗号化ならびに監視を行うようにします。

その他、許可のないソフトウェアの利用や機器構成の変更の禁止、電子メールの利用制限、業務外のWebの閲覧禁止、無許可でのネットワーク接続禁止といったルールを整備します。

アクセス制御

ネットワークや情報システムへアクセス可能なアカウントをシステムにより適切に制御することは情報セキュリティを維持するために大切です。
アクセス制御では、アカウントの取り扱いや特権アカウントに関するルール、外部アクセスに関するルールを設定します。
また、端末のネットワーク接続やログインについて把握できるようにし、認証情報の管理ルールも定めておくことが必要です。

システム開発、導入、保守等

システム開発、導入、保守のそれぞれの段階における情報セキュリティ対策を定め、システム障害や業務への影響を防止します。
また、システム開発・保守に関する資料の整備・保管や情報システムにおける入力データの正確性の確保、情報システムの変更管理、更新、検証などについても定めます。

開発を進める上では、調達要件の中にセキュリティ機能を含めることや、作業者や利用するアカウント、ハードウェアやソフトウェアの管理に関わるルールを定めておきます。

導入する上では開発環境と運用環境をできるだけ分離し、移行手順についても明確にしておきます。開発環境と運用環境が同じ場合、運用環境で利用しているファイルやフォルダを誤って削除してしまうリスクがあるからです。

保守を行う上では、システム関連文書を確実に整備・保管することに加え、IT資産管理ソフトの導入等の方法によりソフトウェアの種類やバージョンなどの情報を収集できる仕組みを整えることが望ましいとしています。

不正プログラム対策

不正プログラム対策では、不正プログラム対策ソフトウェアを導入し、パターンファイルの更新、ソフトウェアのパッチの適用等を確実に実施することが基本です。
加えて、不正プログラムの感染、侵入への対策や、職員が遵守すべき事項、感染時の対応手順や専門家による支援体制の構築などについてルールを定めておきます。

不正アクセス対策

不正アクセスによるシステムへの攻撃や情報漏えい等を防ぐため、不正アクセス対策の措置や攻撃を受けた場合の対処、関係機関との連携についてのルールを定めておきます
不正アクセス対策としては、使わないポートの閉鎖、サービスの停止を実施し、可能であればデータの不正な書き換えやシステム設定ファイルの改ざんの有無を検出できる仕組みを導入します。

セキュリティ情報の収集

業務で利用するソフトウェアにセキュリティホールがある場合、システムへの侵入や情報漏えいなどの被害が生じる恐れがあります。
また、常に新しい脅威が出現するため、セキュリティ情報を常に収集し、共有・対策に活かせるようにします

技術的なセキュリティの脆弱性を突かれインシデントに発展した事例

2019年から2020年にかけて、鳥取県が運営するインターネットショッピングサイト「とっとり市」において海外のIPアドレスからの不正アクセスが生じ、27,000件を超える会員情報や60,000件近い受注情報の漏えいがありました

このケースでは、OSへのパッチの適用や、ファイアウォール、ウイルス対策ソフトの使用など基本的な対策は行われていたものの、脆弱性診断ツールによって脆弱性を発見され、データベース内の情報が搾取されていました。
システム保守会社による報告書では、プログラミングにおける対策が不十分だった点や、定期的なログ監視が行われていなかったために初回の攻撃を発見できず、半年以上後に2回目、3回目の不正アクセスを許してしまう結果となってしまいました。

完全なセキュリティ対策は難しいからこそ、基本的な技術的セキュリティ対策に加え、ログの監視・管理をしっかり行うことが、インシデントの再発や被害の拡大を防ぐことにつながります。

情報セキュリティポリシーの運用・評価・見直し

情報セキュリティポリシーが遵守され、団体のセキュリティレベルの向上に貢献できるようにするためには、適切な運用や定期的なチェックが大切です。
また、外部委託や外部サービスの利用についてもしっかり管理する必要があります。

情報システムの監視

情報システムへの攻撃や不正利用などを防ぐためには、情報システムの稼働状況について常時監視を行うことが必要です。

情報セキュリティポリシーの遵守状況の確認

情報セキュリティポリシーの遵守状況についての確認や職員の報告義務などを定めておくことで、問題の発見や速やかな対応ができるようにします。

また、ポリシーの例外措置の許可ルールを定めたり情報セキュリティに関する各種法令を明示したりして遵守を促します。
遵守を促し、違反を予防するためにも懲戒処分なども規定しておきます。

セキュリティインシデント発生時の対応

セキュリティインシデントの発生時に被害の拡大防止や復旧が迅速・適正に行えるよう、緊急時対応計画の策定についてのルールを定めておきます
緊急時対応計画は、関係者の連絡先や報告すべき事項、対応措置、再発防止措置の策定などを盛り込み、必要に応じて見直すとともに、業務継続計画と整合性をとることが必要です。

外部サービスの利用

情報システムの外部委託を行う際は、外部委託事業者から情報漏えい等が生じるリスクを勘案して一定の選定基準を満たす外部委託事業者を選定します。
その後、契約で遵守事項を定め、定期的に情報セキュリティ対策の実施状況を確認します。選定基準ではISMSなどの国際規格の認証取得や情報セキュリティの監査状況等を参考に選定することが望ましいとしています。

また、外部サービスを利用する際は、利用範囲や利用手続き、運用手順などの外部サービスについての規程を整備し、申請によって利用できる形をとるようにします。
ガイドラインにおける機密性2以上の情報は外部サービスでの取り扱いはできません。

監査

監査とは専門的見地に基づいて客観的に評価を行うことです。
内部の職員による監査や外部に監査を委託する際のルールについて定め、適切な監査が行えるようにします
監査では、監査人に対して中立性の保証や必要なアクセス権限を付与することが必要です。また、監査情報が漏えい・紛失しないよう情報をしっかりと保管する必要があります。

自己点検

統括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者はその責任範囲において情報セキュリティポリシーに沿った対策が適切に行われているかについて、自己点検を毎年行うようにします。
自己点検に必要なルールを定めると共に、点検結果を組織の情報セキュリティ対策の見直しに活用できるよう報告義務を定めます。

情報セキュリティポリシー及び関係規程等の見直し

情報セキュリティ対策は、情報セキュリティに関する脅威や技術等の変化に応じて、必要な対策が変化します。
また、監査や自己点検の結果等から変更すべき点が見つかることがあります。
定期的・不定期に情報セキュリティや関係規程等を見直し、実効性を確保します。

庁内外でのファイルのやり取りならDirectCloud-BOX

DirectCloud-BOXは地方公共団体の情報セキュリティポリシーの要件にも対応したクラウドストレージです。業務効率化とセキュリティを両立させたい企業や自治体で利用されています。

物理的セキュリティでの要件に対応

DirectCloud-BOXはデータセンター拠点内のAmazon S3で提供されており、99.999999999%と高い耐久性を誇ります
また、ファイルはAWS東京リージョンのデータセンター3拠点に分散保存されるため、1拠点においてトラブルがあった場合でも業務や提供サービスに支障が出ることはありません。
また、サービス内のシステムすべてが冗長化されており、サーバー稼働率は99.95%(4.380時間/年以内の停止時間)と高い可用性を提供します。

技術的セキュリティでの要件に対応

DirectCloud-BOXは豊富なセキュリティ機能も具備されています
IDSによる不正アクセスの検出や、AWS WAF(ウェブアプリケーションファイアウォール)による脆弱性対策でネットワーク経由のリスクを防御します。

また、二要素認証・IPアドレス制限・デバイス認証などを利用でき、IDとパスワードに頼らない強固な認証を実現できます。
サーバーにアップロードしたファイルにはCYREN社のAnti-Virusセキュリティエンジンによるマルウェア・ウイルスチェックが行われ、システム内のファイルの安全性を保つことができます。

セキュリティ対策でポイントとなるアクセス制御やログ監視の機能も充実しているのもDirectCloud-BOXの特徴です。
管理者権限による部署ごとのアクセス制御ができ、ファイルに対する操作権限も7種類と細かく分けられているため、職種や外部・内部の利用者に対して細かな権限設定が可能です。また、ファイルのローカルディスクへの持ち出しを制限できるため、情報漏えいリスクを低減することができます。
収集できる操作ログは83種類と豊富で、契約期間中はログが保存され過去のログを1年単位で絞込検索することが可能です。

弊社はクラウド事業者としてISMS/ISO27001、27017認証を取得済みで、自治体で利用するクラウドサービスとしても安心してご利用いただけます。

まとめ

総務省の「地方公共団体における情報セキュリティポリシーガイドライン」では、地方公共団体における情報セキュリティ対策について網羅的な情報が提供されています。
組織で行うべき物理的・人的・技術的セキュリティ対策についても指針が示されていますので、情報セキュリティ体制の構築や見直しに積極的に活用しましょう。

情報セキュリティポリシーは策定して終わりではなく、環境や働き方の変化に応じて見直していく必要があります。
テレワークの導入などで組織のセキュリティポリシーの見直しが必要な場合は、下記「地方公共団体における情報セキュリティガイドライン」ダイジェスト版をぜひご活用ください。

資料ダウンロード