bannertrend.gif


沖コンサルティングソリューションズ・シニアマネジメントコンサルタント
芦田元之
セキュリティポリシー入門 最終回
プロフィール
1970(昭和45)年京都大学理学部数学科卒業、同年沖電気工業入社、UNIXワークステーション開発、情報セキュリティ開発に従事。今年4月から現職。主な著書に「戦略情報システムの構築」(三田出版)がある。


2号にわたり「セキュリティポリシーの概要と策定」について説明してきましたが、セキュリティポリシーは策定すればそれで終わりというものではありません。実際に運用しなければ状況は何も変わらず、せっかくのセキュリティポリシーも無意味なものとなってしまいます。重要なのは、セキュリティポリシーを中心とした「情報セキュリティマネージメント」のPDCAサイクルに則って、庁内のセキュリティ体制を継続的に進化させていくことです。

 では、市町村においては具体的にどのような情報セキュリティマネージメントを行えばいいのでしょうか(図1参照)

tr01_01

 まずP(Plan)は、セキュリティポリシーの策定です。個人情報や行政情報等の地方自治体の情報資産をリスク分析し、技術的・運用的・物理的・人的の各側面からセキュリティ対策基準を策定します。
 D(Do)は、セキュリティポリシーで策定した各側面からの対策基準を実装・実施し、運用を行うことです。このうち技術的対策では、ファイアウォールの設置や重要な情報に対するパスワード設定、ウイルス対策などを行い、システムのセキュリティを強化します。また運用面の対策では、システムの運用ルールや規定類を作成して管理面からセキュリティを強化します。たとえば、他人が無断でパソコンを使用するのを防ぐために〈離席時には必ずパソコンの電源を切る〉などがこれにあたります。さらに物理的対策は建物に対するセキュリティ強化で、コンピュータ・ルームへ入室するときに〈ICカードで個人認証を行う〉のはこの一例です。最後の人的対策とは、職員および外部委託業者に対してセキュリティポリシーに基づく運用ルールや情報倫理についての教育を行うことです。運用面においては、職員一人ひとりが情報セキュリティの重要性を理解し、ルールの遵守を定着させることが最も重要といえます。

大切なのは運用のあり方

 C(Check)は、情報システム全体の信頼性や安全性を確認するための評価・見直しと、セキュリティポリシーに則してシステムが運用されているかどうかの監査です。情報システムを取り巻く環境は常に変化しています。このため定期的かつ客観的に監査を行うことが必要で、基本的には組織から独立した第三者による外部監査が望ましいといえるでしょう。
 最後のA(Action)は、監査の評価・見直しの結果を反映して、セキュリティポリシーの維持と改善を行っていくことです。ここで大切なのは理想的な対策を一度に行うのではなく、できることから着実に対策を行い、継続的にセキュリティレベルの向上を図ることです。
 こうした情報セキュリティ対策の管理の仕組みは、国際標準『ISO17799』に定められています。これは英国の規格BS7799の第1部を国際標準化したものです。経済産業省では、13年に情報サービス業者に対する安全対策基準を廃止し、新たに『ISMS適合性評価制度』を発足させましたが、これもISO17799をベースにしています。
 認定機関としては、ISMS適合性評価制度については財団法人日本情報処理開発協会が、またBS7799については英国認定機関が担当していますが、審査内容自体に大差はありません。

万一の場合、行政責任を問われることも

 市町村が業務を外部委託する場合、信頼できる業者を選定するため、委託先の情報セキュリティの知識を含め技術レベルを把握する必要があります。こうした場合は、その委託業者が『ISO17799』または『ISMS適合性評価制度』の認定を受けているかどうかを、ひとつの判断基準とすることができます。
 図2は、市町村の情報資産に対する脅威と脅威による被害、そしてその影響をまとめたものです。ここで重視しなければならないのは「内外部からの不正アクセス」ではなく、「システム運用における単純なミス」や「セキュリティに対する無知から起こる障害」や「外部委託に対する管理体制」であるといわれています。

tr01_012

 実際に外部委託業者によって住民基本台帳のデータが漏洩した事件では、11年5月に住民が起こした損害賠償請求裁判において市町村敗訴の判決が下されました。また、米国では同様の裁判事例で、行政側のセキュリティポリシーを運用している実績が担保され、その免責を認めたケースもあり、日本においても今後こうした議論が本格化してくるものと思われます。
 さて、住民基本台帳ネットワークや総合行政ネットワークの本格稼働を間近に控え、いま個人情報や行政情報の漏洩に対するマスコミや住民の関心が急速に高まっています。一度ことが起これば市町村の信用は失墜し、行政も住民も目に見えない多大な損害を受けることとなります。いわばセキュリティポリシーとは、このような時代における一種の“保険”といえるでしょう。
 とはいえ、「ほかの団体がやっているから…」という軽い気持ちで導入しても決してうまくはいきません。重要なのは、継続的にセキュリティ対策の維持・向上を図り、組織のなかに“文化”として定着させていくこと。そうした取り組みの一つひとつが、住民と行政との信頼関係の“礎”となっていくのではないでしょうか。



バックナンバーへ戻るspacer新風トップへ