(3)セキュリティ監査
セキュリティ対策を講じても、その策定内容や運用状況をレビューし評価することがなければ、せっかく取り決められた項目が有効に機能しているかどうか知ることはできない。地方公共団体に対する情報セキュリティヘの被害は直接、その団体の信用失墜につながることであり、なんとしても食い止めなければならない。ネットワークを介したセキュリティ侵害のケースにおいては、その被害が不特定多数の住民に対して、あるいは国境を超えたところで起こる可能性がある。
例えば全国の地方公共団体が将来的にオープンなネットワークで連携された時に、1地方公共団体のセキュリティ対策に不備があると、攻撃の対象となって、他の地方公共団体も脅威にさらされる可能性がある。
各地方公共団体の情報セキュリティ対策の管理ポイントは有効か、リスク・アセスメントが適切に行われているか、また、各管理者やユーザはおのおのの行動の中で正しく行動しているか、などの監査ポイントについても、セキュリティ方針を策定する際に、その方針レベルから手順レベルに至る評価項目を明確にしておく必要がある。更に、セキュリティ監査にっいては、当初想定したリスクが与える影響が変わっていったり、みずからが気づかない部分に、セキュリティヘの脆弱性が存在する可能性があるため、専門家による外部監査は有効である。
現在、情報システムの脆弱性を評価するシステムの透過性テストや脆弱性テスト、セキュリティ方針書の再評価などの多様なセキュリティ・ビジネスが用意されている。このような、セキュリティ診断の活用や、セキュリティ・コンサルタントを積極的に登用することで、地方公共団体の信用を守るための必要経費を確保することが今後、重要なことになると思われる。
(4)セキュリティ・コスト・利便性
セキュリティ対策を、複数の選択肢の中から選ぶ際の決め手となる要素は主に三つ存在する。セキュリティ強度、コスト、そして使い勝手の良し悪し(利便性)である。
しかし、この三つの観点から迷うケースの多くは、セキュリティ強度の異なる製品・システム・サービスを選ぶ場合であろう。例えば、セキュリティ強度の高い製品を選択しようとすると、コストが高くつき、利便性が落ちることはよくあることであるが、それぞれの要素はトレードオフの関係にあるといえる。最終的には、各地方公共団体の諸事情にあわせて決定されるものではあるが、対象となる情報の特性に合わせた、セキュリティ・レベルを明確にすることにより、安易な妥協をせず、十分な検討がなされることが望ましい。
