地方自冶体のセキュリティとは

 

      国際情報専攻 6期生 前田 保

   

1 地方自冶体のセキュリティ対策は不十分?

 総務省は200475日に「情報セキュリティに関する実態調査結果」を公表(注1)しました。この調査は以下の団体を対象としている。

    上場企業 2,087社(東証一部・二部上場企業全数)

    地方自冶体(政令指定都市及び市)300団体

    病院(総合病院)300団体

    大学(短大を除く)300団体

    研究機関(国立・公立研究所、特殊法人研究所、財団法人研究所)100団体

その公表結果は200ページ以上にのぼりますので、要点を解説する。

実は地方自冶体のセキュリティ対策は、それほど不十分でないのです。調査では「地方自冶体でのセキュリティ対策実施率は高く、81%が何らかしらの対策を行っている。」としています。一言でセキュリティ対策といっても、内容は多岐に渡りますので、特徴的な個所について以下に分析している。

 

同調査によると、特に充実している分野は「管理体制構築」「機器導入」「個人情報の保護」が上げられる。

管理体制構築とは、セキュリティ管理のための特別な組織・チームを編成することであり、全体の約32%を占めている。これは上場企業でも23%に留まっている全体状況に対して、比較的高い状況にある。全て管理体制のない地方自冶体は2.8%に留まり、全体として体制整備は進んでいるといえる。

次に「機器導入」ですが、これはファイアウォールなどの、ナットワーク外部からの侵入を防ぐ機器が導入されている比率をさします。地方自冶体におけるこれらの機器の導入率は90%であり、上場企業の88.8%を上回っている。その他にも外部公開用のサーバを配置するための設定なども高い比率で整備されている。

他にも許可しないソフトウェアのインストールを禁止している割合が、地方自冶体では81.1%と高いなど、情報システムで対応できる事項について、率先して対応していることがわかる。これを裏返すと、システム構築ペンダーから推奨された対策について実施しているとも見え、地方自冶体自らが網羅的にセキュリティ対策を考えているとはいえないのでは、とも思われる。

さらにセキュリティ対策でもいいましたが、個人情報保護法への対応を控えている関係上、個人情報の保護対策は地方自冶体において非常に重要である。この個人情報の保護とは、以下の対応をさします。

    管理規約を定め、関係者に通知している

    管理体制を明確にしている

    顧客の個人情報の使用や閲覧を制限している

 管理規約を定め通知しているには、地方自冶体において65.6%と非常に高く、上場企業の25.8%を大きく上回ります。また個人情報の管理体制を整備するうえで、管理担当部署を設置している率は32.2%で、他の組織の倍に上ります。また個人情報閲覧の制限についても、上場企業は25.3%であるのに対し、地方自冶体の整備率は56.1%である。ただしこれには上場企業の対策が遅れていると評価するべきであり、地方自冶体は来年度の個人情報保護法施行に間に合わせる必要があることを考えると、必ずしも進んでいるとはいえないとも判断できる。

 

2 遅れが目立つセキュリティマネージメント

 それでは遅れが認められる領域は何でしょうか。それは「セキュリティ監査の活用」「セキュリティマネージメントの欠如があげられる。

 実は地方自冶体に限らず、多くの組織においてセキュリティ監査は実施されていません。地方自冶体では90.6%が実施しておらず、上場企業では74.9%、大学で91.6%、病院では93.3%、研究機関では77.5%を占めている。そのため、セキュリティ監査を受けるという対策は、約2%の組織しか効果をあげたとは認識していませんが、これはそもそもの利用母数が少ないので仕方がない話である。

 また「セキュリティ実施対策基準の策定」に関しては、地方自冶体におけるセキュリティポリシーの策定済みが60.0%、策定中が34.4%、計94.4%と、上場企業のそれぞれが35.6%、20.8%の計56.4%に対して大きく上回っている。またその策定においても、国際標準となっているセキュリティ基準のISMS,BS7799、ISO/IEC17799を参考としており、一見問題無いように思われる。

 しかし調査内容を詳しく分析すると、「セキュリティポリシーが機能しているかどうか」に関しては、十分機能しているとの回答は6.5%に留まり、あまり機能していないが15.3%、全く機能していないが7.1%となっている。言い換えればセキュリティポリシーが実効力を持っておらず、形骸化していることを示している。これが「セキュリティ実施手順策定」の不十分を示していることにつながるのである。

 それぞれにつて、その課題や対策について解説する。

 

3 セキュリティ監査の必要性

 セキュリティ監査とは、セキュリティ監査基準を策定し、それに対する適合性を客観的に判断する制度である。ここで重要なのは、客観性の担保である。

 多くの情報システムはシステムペンダーによって構築されるため、そのシステムのセキュリティがどのレベルにあるのか、ユーザが判断することは難しく、またシステムペンダーに確認したとしても、最善を尽くしているとの回答しか得られないと思われる。しかしながら万が一情報漏洩等が発生した場合に、責任を問われるのは発注者でありユーザである皆さんである。もちろん瑕疵担保責任や製造者責任を問うことは可能性であるが、そもそも発注用件にセキュリティ要件が明記されておらず、納品されたシステムを検収して使用している以上、修正等は依頼できたとしても二次的損害などまで補償させることは、事実上不可能である。

 そこでセキュリティ監査という仕組みを利用することにより、第三者の専門家の視点から、そのシステムが安全性・信頼性において問題ないことを確認してもらうのである。セキュリティ監査基準を作ることは、実はそれほど難しくありません。特に公共系システムの場合は、経済産業省が作成しているセキュリティ監査基準(注2)を基本として、自分のシステムに当てはまる項目や必要な項目を抜き出せばよいのである。また多くの監査法人やコンサルティング会社が、監査資格を有する監査人を抱えており、さらにこういった基準をもっていますので、依頼すれば基準策定から監査までを完結することも可能である。

 繰り返しになりますが、セキュリティにおいては第三者による客観的な評価が必要である。そのためにセキュリティ監査を利用することを勧める。

 

4 セキュリティ実施手順の必要性

 次にセキリティ実施対策基準について解説する。

 セキリティポリシーが定まっているのに、なぜ機能していないと多くのユーザが感じているのでしょうか。それはセキリティポリシーは大まかな方向性を示しているにすぎず、実際のシステム調達や日々のシステム運用で活用するためには、より具体的な行動手順に落とし込む必要がある。

 これは内閣官房情報セキュリティ対策推進室の情報セキュリティポリシー(注3)に関するガイドラインに示されている。各省庁を各地方自冶体に読み替えればよいかと思いますが、セキュリティポリシーそのものは組織ごとにそれほど差異がありません。むしろ差異があるようではセキュリティレベルが組織によって異なることになってしまいますから、システムがネットワークで結ばれるのが当たり前の現状において、そういった組織がシステム全体の弱点になってしまう。従ってポリシーそのものは、先程紹介した経済産業省の定めるガイドラインに則して策定する。

 しかし実施手順になると、各組織の業務や体制の違いなどを反映しない限り、実効力の無い絵に書いた餅になってしまいました。そもそも現時点ではこの実施手順が存在しない、という調査結果につながっている。

 従いまして地方自冶体においては、セキュリティポリシーの整備がすでに終わっている組織が大半ですから、実施手順の対策に進まれることをお勧めする。実施手順の策定方法は長くなるため割愛するが、先程紹介した内閣官房の情報セキュリティ対策推進室にガイドラインが掲載されているし、監査法人やコンサルティング会社などの専門家に依頼しても良いかと思う。

 

5 セキュリティ対策におわりはない

 さてここまでセキュリティ対策において地方自冶体に欠けている点と、それに対する対策は一度整備してしまえばそれで終わりといいうものではない。

 内閣官房情報セキュリティ対策推進室の情報セキュリティポリシーに関するガイドラインに示されている。ここに始まって、導入、運用、評価・見直しという、いわゆるPDCA(Plan-Do-Action)のサイクルを廻し続けることが重要なのである。

 というのもセキュリティ上の脅威というのは常に新しく発生しており、おおげさでなく、日々の対応が必要なのである。一度は完全な対策を講じたとしても、すぐに陳腐化してしまうことを理解しておく必要がある。また気がつかないうちにセキュリティポリシーに違反した使われ方をしているのが、情報システムであるともいえる。こういったリスクを軽減するためにも、やはりチェックは必要である。

 従って一般的には、最低でも年に一度はセキュリティ監査、すなわち評価・見直しを行い、セキュリティポリシーや実施手順の修正をおこなうことが推奨されている。

 

注釈

1.情報セキュリティに関する実態調査結果

http://www.soumu.go.jp/s-news/2004/040705_2.html

2.経済産業省が作成しているセキュリティ監査基準

  http://www.meti.go.jp/policy/netsecurity/law_guidelines.htm

3.内閣官房情報セキュリティ対策推進室の情報セキュリティポリシー

  http://www.bits.go.jp/sisaku/2002_1128/ISP_Guideline_20021128.html