第4章 地方公共団体におけるセキュリティ対策推進上の留意点
現在、ほとんどの地方公共団体では、メインフレームにおける情報システムを中心に、既にセキュリティ対策が策定され、取り決められた対策内容を明文化し、各種の規程類が作成されている。しかし、最近のネットワーク化環境に適した対策の策定に当たっては、おのおのの地方公共団体で試行錯誤しながら策定の準備をしているのが現状である。
そこで、本調査研究報告書では、ネットワーク化環境にある情報システムを想定し、セキュリティ対策を策定するに当たって留意すべき点を明らかにする。
まず、地方公共団体が、全庁的に有効なセキュリティ対策を策定する際に目安となる基本的な考え方についてまとめる。
また、第2章で示したモデルパターン3及びモデルパターン4などに該当するインターネット利用環境を実現するケースを想定し、一般的なセキュリティヘの脅威及び対策についての策定例を示す。その上で、体系的なセキュリティ対策を策定するための留意項目をリストとしてとりまとめるものとする。
第1節 セキュリティ対策の策定への取り組み
1 セキュリティ対策への取り組み
庁内LANの情報システムの構成、業務の変更などがあった場合や、インターネットなど外部との情報通信手段など、構成を変更・増設した場合、地方公共団体の情報システムのセキュリティ対策は、そのつど見直されるべきであろう。
また、セキュリティにかかわるトラブルが発生した場合も、脅威の洗い出しから再度策定を見直す必要がある。
そこで、地方公共団体がセキュリティ対策を策定するに当たっては、まず組織として上層部がリーダーシップをとり、策定するための方針を明確にしていくことが望まれる。その場合、具体的には、首長のビジョンや行政にかかわる情報に対するセキュリティ対策の目的、原則、方針などを明示し、その結果、情報を安全に扱うための基本的な合意事項のみを整理したものを策定することが必要とされる。そして一度明確化したものについては、よほどのことがない限り修正を避けたほうがよい。
次に、セキュリティ対策を策定するためには、全庁的な取り組みが求められ、適切に対応するためには、セキュリティ関連組織を設置することが必要となる。組織化するためには、情報管理主管課はもとより、関連する部署の協力が必要となり、また、関連各部署における役割分担を決めなければならない。
したがって、策定に当たっては、セキュリティ関連組織において、現状のセキュリティ対策を検討し分析を行い、全庁的に体系化されたセキュリティ対策策定への取り組みを図ることが重要なこととなる。
現行の情報システムや新たに導入する業務形態に対して、どのような脅威があるのかリスク・アセスメントを行い、その上で、それらのリスクを回避するための対策項目や、トラブル発生時における緊急時対応計画などについても検討し設定していくことが必要である。規約、行動指針、手順などの決定項目については明文化し、出来る限り庁内において公開していくことが望ましい。文書化された対策内容の公開は、セキュリティヘの脅威に対する抑止効果をより高めることにもつながり、その効果は大きいと推測される。
また、内部あるいは外部による監査、レビューを適宜実施し、現状の業務システム環境に適合したセキュリティ対策も、また適宜見直していく必要がある。外部による監査は、客観的な評価を受けることができるため、非常に有用であると思われる(図-1)。
