2016年7月1日、全国町村会館(東京)にて「OGC自治体向け情報セキュリティセミナー」が開催されました。行政機関からの重要情報の漏洩といったインシデントが相次いで報じられる昨今、セキュリティ対策の見直しが改めて叫ばれています。本セミナーには全国各地の自治体職員・行政関係者が多数参加しました。セミナーの要点を本稿でお伝えします。(文/柏崎吉一 エクリュ)
テクノロジーの進展がもたらす新たなリスク
市場の牽引役としてICT分野の新テクノロジーが注目されています。
OGC会長で東京大学大学院情報学環教授 須藤修氏は開会挨拶で「ブロックチェーンを用いた決済システムや、人工知能による意思決定支援の仕組みが行政分野にも適用されるようになるだろう」と述べ、「同時にこれまでなかったリスクも生じてくる。プログラムを自ら書き換える人工知能プログラム同士が人間を介さずにデータを自律的にやり取りし始めた場合に、誰がどのようにそのセキュリティを管理するのかについて、すでに国も検討を始めている」として、技術革新に伴うセキュリティ対策の見直しを強調しました。
須藤氏によれば、電子申請・申告などに必要なセキュリティ仕様策定を巡り、諸外国での駆け引きも活発化していると言います。例えば、行政サービスを利用するためのスマートフォンのセキュリティ規格もその1つです。
「オランダ、イギリス、エストニアおよびフィンランドなど先行する国が互いにしのぎを削っている。日本がどの規格に準拠していくべきか。日本におけるマイナンバー制度の進展にも影響を及ぼしてくる。動向をつかむため、今回セミナーのような研修・交流の機会を活用してほしい」と須藤氏は来場者に呼びかけました。
地方自治体における情報セキュリティ管理体制を自己点検
地方自治体の行政業務に不可欠な情報システムのセキュリティ対策は、開発・運用と併せて各自治体それぞれ独自に立案・執行されているのが実情です。ただ、各自治体の情報システムの仕様や財政の状況、組織体制などは異なるため、対策の内容もまちまちです。ICT環境を取り巻くセキュリティ面の脅威が巧妙化・悪質化する中で、情報セキュリティ管理体制をどのように整備すればよいのでしょうか。
この課題に関して、ネットワンシステムズ株式会社 市場開発本部 エグゼクティブエキスパートの豊田祥一氏は、地方公共団体情報システム機構(J-LIS)がOGCの協力で作成した『地方公共団体における情報セキュリティに関する組織対応力ベンチマーク』ハンドブックの有効性を指摘しました。このハンドブックは、自己点検のための評価ツールで、改善が必要である点を俯瞰して把握することができます。
チェックシートは、次の6つの分野を網羅する、計25問(121項目)の設問で構成されています。
1、文書類の整備状況
2、CSIRTの構成
3、情報セキュリティインシデント対応の準備
4、予防
5、検知と分析
6、被害の拡大防止・復旧および事後活動
「121の項目は、評価を実施しやすいように『 職員が評価する項目』と『必要に応じて支援ベンダーを交えて評価する項目』を分けている。職員が評価する項目は外部に任せず職員の皆さんが自らの手で主体的に行っていただきたい」と、豊田氏は職員の積極的対応を訴えました。また、本ベンチマークは、自己点検以外に、外部委託事業者の評価やCSIRT要員の力量向上のために活用可能であると述べました。
※詳細は、豊田氏の講演資料をご参照ください→(PDF)
地方自治体の取り組み
本セミナーの後半では、2つの自治体におけるセキュリティ対策の取り組み事例が紹介されました。
浦山清治氏は台東区の推進状況を同区の最高情報統括責任者(CIO)補佐の立場から説明しました。
「台東区では、マイナンバーによる情報連携に活用する総合行政ネットワーク(LGWAN) 環境、基幹業務系、内部業務系、インターネット接続端末を適切に分離・集約してプライベートクラウド上に移行した。これによって物理的なセキュリティリスクを抑えている。他方、人的なセキュリティの強化については継続的な人材教育を行っている」ということでした。
また、総務省の「自治体情報セキュリティ強化対策補助金事業」について、これは「自治体情報システム強靭性向上モデル」に基づく庁内ネットワークの再構成と、市町村ごとにあるインターネット接続口を都道府県単位に集約して監視機能を強化する「自治体情報セキュリティ・クラウド」を推進することを目的にしていると説明しました。総務省は、マイナンバー制度導入開始後に国・自治体間の情報連携が始まる平成29年7月までの対応を求めています。
続いて、会津若松市総務部情報政策課主任主事である栗城健太氏は、同市が進める情報セキュリティ対策を説明しました。会津若松市では、「逼迫する財政の中で、効果の見えにくいセキュリティ予算承認の優先順位がなかなか上がらなかった」と同氏は打ち明けます。「庁内には専門的人材も不足していた。その中でもやれることから着手した。まずは、どのようなPC端末やデータ資産が庁内にあるのかを把握する情報資産管理から始めた。その結果を踏まえて、セキュリティを強化するため、基幹ネットワークもインターネットと分離した。J-LISが用意するセキュリティ対策支援サービスも積極的に活用している」と説明。続けて、セキュリティ対策を各自治体の職員のみに任せるのは現場のリソース不足もあり容易ではなく、国が主導していく必要性を指摘しました。
☆編集後記☆
新たな脅威が次々と現れ、システムやネットワークの脆弱性を虎視眈々と狙っています。自治体が中心となってCSIRTの設置といった危機管理体制を整えること、実務に精通したエキスパートの知見を活用し、職員一人ひとりが日頃からPC端末やデータの取り扱いに注意を怠らない姿勢、などが欠かせません。どこから手を付ければよいのか。現状を知るため、『地方公共団体における情報セキュリティに関する組織対応力ベンチマーク』を活用した自己点検から始めてみてはいかがでしょう。(かしわざき・よしかず)
