bannertrend.gif


沖コンサルティングソリューションズ・シニアマネジメントコンサルタント
芦田元之
セキュリティポリシー入門 第2回
プロフィール
1970(昭和45)年京都大学理学部数学科卒業、同年沖電気工業入社、UNIXワークステーション開発、情報セキュリティ開発に従事。今年4月から現職。主な著書に「戦略情報システムの構築」(三田出版)がある。


基本方針と対策基準

 セキュリティポリシーは、前号で説明した通り「基本方針」と「対策基準」から構成されています。
 セキュリティポリシーの「基本方針」は、情報資産(住民の個人情報や行政運営上重要な情報)のセキュリティに対する基本的な考え方を明文化したもので、市町村のセキュリティに対する方針・風土を反映します。
 特にこの基本方針は、住民に対するセキュリティ対策の意思表明でもあり、インターネットで公開している市町村もあります。これは、市町村が情報セキュリティポリシーを、責任をもって運用していることのアピールにもなります。セキュリティポリシーの基本方針を公開している事例としては、「福岡県情報セキュリティ基本方針」「福島県情報セキュリティポリシー」「世田谷区情報管理基本方針(案)」などが挙げられます。
 もうひとつの「対策基準」は、基本方針を実行するための具体的な対策を、技術的、物理的、人的な面からルール化したものです。これは全職員が守らなければならない
 “ルール”であり、認識不足による情報漏えいや内部犯罪を未然に防ぐことに高い効果が期待できるため、ある程度の強制力を持って実施されるべきものです。
 また、ただルールを決めるだけではなく、職員にセキュリティポリシーとは何かということについて理解してもらうための解説書も必要です。解説書で「どのような脅威から何を守らなければならないか」「そのためにはどうしたらいいのか」「守れなかったときに何が生じるか」を具体例を挙げて説明することにより、職員の理解が深まり、セキュリティレベルの向上にもつながります。
 基本方針と対策基準に盛り込まなければならない項目例を表に示します。

基本方針と対策基準の項目例
基本方針の項目例
1. セキュリティポリシーの目的
2. 用語の定義(説明)
3. セキュリティポリシーの適用範囲、位置づけ
4. セキュリティポリシーを推進・管理するための組織体制の考え方
5. 市町村が有する情報資産の分類と管理方針
6. 情報セキュリティ対策の考え方
7. 職員の責務
8. 監査に対する方針
9. セキュリティポリシーの評価および見直しの考え方

対策基準の項目例
1. 適用範囲
2. 組織運営基準
3. 情報資産管理基準
4. 物理的セキュリティ対策:管理区域の安全保護、職員の入退室管理、設備管理
5. 人的セキュリティ対策:職員のセキュリティに関する責任の規定、教育および訓練
6. 技術的セキュリティ対策:コンピュータシステムおよびネットワークの安全対策(不正アクセスやウイルス対策なども含まれる)
7. 運用基準:情報システムの監視、事故への対応策
8. 情報システム開発・導入基準
9. 外部委託基準:システムの開発や運用を外部に委託するときの基準
10. 危機管理対策基準
11. 監査および点検基準
12. 法令遵守基準
13. 職員の倫理基準

セキュリティポリシー策定の手順

 さて、セキュリティポリシーの策定には六つの工程が必要です(図)。

tr11_01

ステップ1 策定体制の確立
 セキュリティポリシーを策定するためには、セキュリティ委員会とポリシー策定チームという2つの組織が必要となります。
 「セキュリティ委員会」は、セキュリティポリシーに関する方針や各種承認の審議を行う最高審議機関で、メンバーは情報システムの管理・運用部門、施設管理部門、人事管理部門および総務部門の責任者などで構成されます。一方の「ポリシー策定チーム」は、セキュリティポリシーの原案を作成する実務部隊で、主に情報システムの管理・運用部門の職員で構成されます。
 この体制が確立したら、まず、セキュリティ委員会とポリシー策定チームのメンバー、そして関連部門の職員に対して、セキュリティポリシーセミナーを開催し、認識を高めます。このことが策定作業を円滑に進めるのに効果をもたらします。
ステップ2 基本方針の策定
 首長や情報セキュリティの統括的責任者のセキュリティに対する考え方、方針および市町村の業務・風土を考慮して、基本方針を策定します。
ステップ3 リスク評価
 リスク評価は対策基準を定めるための重要な作業です。まず、現状の規定類およびシステム運用管理状況が、セキュリティポリシーの標準(国際標準ISO17799、または平成13年3月に総務省が策定した『地方公共団体における情報セキュリティポリシーに関するガイドライン』参照)とどれだけギャップがあるのかを調査します。市町村が保有している情報資産を洗い出し、個々の資産価値を分析。これに対する脅威・脆弱性を評価して、情報資産のリスクを定量的に表します。
ステップ4 管理するリスクの決定
 すべての情報資産に対してセキュリティ対策を完璧に行うとなると、膨大な費用と期間が必要になるため、情報資産のリスクに対し基準値を決め、セキュリティ対策を行う情報資産を決定します。
ステップ5 実施すべき管理策の選択
 対策を行うことが決定した情報資産については、環境的、人的および技術的な面からセキュリティ対策案を立案します。ステップ4と同様にコストとの兼ね合いを考え、リスクに見合った対策を選択します。もちろん利便性(使い勝手)も考慮しなければなりません。こうしてセキュリティの対策基準ができあがります。
ステップ6 制定、説明会
 完成したセキュリティの基本方針と対策基準をもとに「セキュリティポリシー」を制定し、職員の啓蒙のためにも必ず内容の説明会を開催します。
 セキュリティポリシーの制定後は、システムや規定類への実装をしなくてはなりません。あくまでも制定が目的でなく、それにしたがってシステムをきちんと運用管理することが重要なのです。
 次回は、セキュリティポリシーの策定から実際の運用、そして見直しにいたるまでの実施サイクルについて解説します。



バックナンバーへ戻るspacer新風トップへ