bannertrendnews.gif


第1回 地方公共団体の情報セキュリティ監査
なぜ、セキュリティ監査が必要なのか
沖コンサルティングソリューション株式会社 シニアマネージングコンサルタント
芦田元之
1970(昭和45)年京都大学理学部数学科卒業、同年沖電気工業入社、UNIXワークステーション開発、情報セキュリティ開発に従事。02年4月より現職。主な著書に『戦略情報システムの構築』(三田出版)がある。



 「5年以内に世界最先端のIT国家となる」ことを目標とした「e―Japan戦略」。政府は安心で安全な電子政府・電子自治体の構築を目指し、この5年の間に各種制度やインフラの整備に努めてきた。なかでも個人情報保護を中心とする「情報セキュリティ対策」は目下、最重要のテーマといえ、最近では各省庁が連携して対策強化策を打ち出している。情報セキュリティ対策の実効性を点検・評価する「情報セキュリティ監査」制度の推進もそのひとつ。地方公共団体でも早急な取り組みが期待される「情報セキュリティ監査」について、3回連載で考えてみる。

現状は、どこまで進んだのか

 今年8月、総務省が発表した『平成18年度ICT政策大綱』に、電子自治体推進における地方公共団体の情報セキュリティ水準の向上策が盛り込まれました。ここでは、地方公共団体の具体的なアクションプランとして、(1)個人情報保護条例の充実、(2)情報セキュリティポリシーに基づく対策、(3)情報セキュリティ監査の推進――などが挙げられています。
 なぜ、いま情報セキュリティ監査が求められているのでしょうか。
 地方公共団体において、本格的な情報セキュリティ対策が始まったのは、総務省が2001年3月に『地方公共団体における情報セキュリティポリシーに関するガイドラインについて』を公表し、全国の団体に対してセキュリティポリシーの策定を求めたことに端を発しています。以来、全国的に取り組みが進められ、今年7月1日現在、情報セキュリティポリシーの策定状況は、都道府県が100%、市区町村では93.7%と、規定面ではほぼ整備が完了したといえます。しかし、その実状を見ると多くの団体ではポリシー策定に止まり、実際に運用されているところはまだまだ少ないといわざるをえません。
 住民が安心して利用できる電子自治体を実現するためには、PDCAサイクルに則って定期的に情報セキュリティ対策の改善を図り、地方公共団体の情報セキュリティレベルを高く維持しておくことが大切です。そのためには、情報セキュリティポリシーに基づく実施手順が適切に運用されているか、対策の実効性を点検・評価する「情報セキュリティ監査」が欠かせません。
 このため総務省としても、地方公共団体における「情報セキュリティ監査」の推進へ積極的な姿勢を見せており、2003年12月に『地方公共団体情報セキュリティ監査ガイドライン』を公表し、外部監査の導入を示唆。さらに今年7月には、「地方公共団体の情報セキュリティレベルの評価にかかわる制度の在り方に関する検討会」も発足させました。


も発足させました。  情報セキュリティ監査には、地方公共団体の職員が自己点検する「内部監査」と、コンサルタントなどが客観的に評価する「外部監査」の2つがあります。では、地方公共団体の情報セキュリティ監査はどこまで進んでいるのでしょうか。
 右の表は、地方公共団体における情報セキュリティ監査の実施状況を示したものです。これを見ると「情報セキュリティ監査を実施している」のは、都道府県が26団体(55.3%)、市区町村が504団体(20.8%)となっています。このうち12の都道府県、160の市区町村が「外部監査」まで実施していますが、その監査内容のほとんどは「情報システムの脆弱性診断」に止まっており、対策の改善・向上を促すという本来の意味での情報セキュリティ監査は、まだまだこれからというのが実態のようです。


前提となる「実施手順」の策定

 情報セキュリティポリシーを“絵に描いた餅”としないためにも、また、常に新たな脅威から情報資産を守るためにも「情報セキュリティ監査」は、早急に取り組まなければならない課題といえます。それでも地方公共団体の取り組みが遅れているのはなぜでしょうか。その主たる理由として、以下の2点が考えられます。
(1)セキュリティポリシーの策定は行ったが、実施手順を定めていない
(2)外部監査を行う前の内部監査(セルフチェック)の方法がわからない

 実際、情報セキュリティ基本方針と対策基準は策定したものの、セキュリティ対策を実施するための手順書の作成まで手が回らず、そのままになっているところは少なくありません。しかし、住民基本台帳ネットワーク稼動時の安全性問題や、今年4月に全面実施となった個人情報保護法などの影響で、住民の個人情報に対する問題意識は非常に高くなっています。このことからも、実施手順を未だ作成していないところでは早急に手順を作成し、運用を開始すべきでしょう。


 まだ、外部監査導入に至らない地方公共団体でも、せめて内部監査による自己点検だけは急ぎ実現したいものです。内部監査にあたっては、総務省の『地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書』や経済産業省の『情報セキュリティ監査基準』などが参考となります。また、内部監査で点検すべき項目は、先述の『地方公共団体情報セキュリティ監査ガイドライン』に記載されています。
 これらの資料では、情報セキュリティに関する管理基準や実施手順、技術的検証手法、セルフチェック(自己点検)リストなどがまとめられています。しかし、点検項目を具体的に理解し、監査を実施するのは、専門家を抱えていない地方公共団体ではなかなか難しいことから、最初のうちは外部コンサルタントなど専門家による教育や支援を受けて監査を実施するのも賢明な方法といえるでしょう。
 次回は、内部監査および外部監査の具体的な内容について説明します。



バックナンバーへ戻るspacer新風トップへ