bannertrendnews.gif


第3回 地方公共団体の情報セキュリティ監査
「技術的検証」
沖コンサルティングソリューションズ株式会社 シニアマネージングコンサルタント
芦田元之
あしだ・あさのぶ 1970(昭和45)年京都大学理学部数学科卒業、同年沖電気工業入社、UNIXワークステーション開発、情報セキュリティ開発に従事。02年4月より現職。主な著書に『戦略情報システムの構築』(三田出版)がある。



 
1月に発表された『IT新改革戦略』では、「世界一安心できるIT社会」の実現に向けて〈2008年度までに、「IT利用に不安を感じる」とする個人を限りなくゼロにする〉などの目標を掲げた。このことから地方公共団体では、情報セキュリティ対策の一層の強化へ取り組まなければならなくなった。最終回では、情報セキュリティ対策の「技術的検証」について考えてみる。

技術的検証とは?

 「ホームページに不正アクセスされ、顧客データが流出」「ホームページの内容が外部の侵入者によって差し替えられた」――このような記事を最近よく目にされないでしょうか。これらは、「セキュリティホール(ネットワークやシステムのバグや設定の不備等によって生じる弱点)」を悪用したネット犯罪の一例です。


 セキュリティホールを放置しておくと、“悪意のある第三者”に悪用され、最悪の場合、住民情報が漏えいすることもあります。被害を未然に防ぐためには、こうした“弱点”をなくすことが必要です。そのため、OSやソフトウェアのベンダは、セキュリティホールが発見されると「セキュリティパッチ」と呼ばれるソフトウェアを提供し、弱点の改善に努めています。
 地方公共団体においても同様に、庁内で使用しているネットワークや情報システムの“弱点”の有無を検証し、安全な環境を整えることが欠かせません。そのために情報セキュリティ対策の実施状況や実効性を技術的な観点から監査することが必要で、この監査を「技術的検証」といいます。
 前号で確認した「情報セキュリティ監査」が、情報セキュリティの維持・管理を効果的に実施しているかどうかを監査するのに対し、「技術的検証」は情報セキュリティ監査のうち、情報システムおよびネットワークのセキュリティ対策の実施状況や有効性を技術的な観点から点検・評価するものです。情報セキュリティ監査を実施している地方公共団体では、組織的・技術的の両面から情報セキュリティ対策を網羅的に監査するため、技術的検証も合わせて行うようになってきています。
 技術的検証の目的は、「情報セキュリティマネジメントによる措置内容の技術的確認」と「技術的診断(検査)」に大別することができます。前者は、情報セキュリティポリシーに規定されている対策が、情報システムに対して適切に実施・運用されていることを確認し、準拠性監査の裏づけに利用することを目的としています。その一方、後者は、セキュリティホールの有無や情報システムとしての設定情報が適切であるかの検証を行うもので、より適切な情報セキュリティ対策をサーバやネットワーク機器に施すことを目的としています。
 また、技術的検証の手法には「侵入検査」「設定情報検査」「ウェブアプリケーション検査」があります(各検査内容は図表参照)。検証時には、不正アクセスと同じ手法をとるため、万が一、情報システムがダウンしても影響がないよう、業務や住民サービスに支障をきたさない時間帯に実施しなければなりません。また、システムの脆弱点を検証するため、その情報の取り扱いには細心の注意が必要です。

技術的検証のポイント

 さて、技術的検証を実施するには、ITや情報セキュリティに関する専門的な知識・技術が必要なため、外部へ委託するのが一般的です。しかし、技術的検証を行う業者は非常に多く、信頼でき、技術力のある業者の選定は難しい問題です。
 また、検証結果も単にツール検査の報告だけではなく、各検査の結果を総合的に分析して、ネットワークを含め「情報システムとしてどうあるべきか」がまとめられたものでなければ意味がありません。したがって、業者の選定時は、技術的検証の評価分析報告書の一部の提出を求め、企画書の提案等から判断する必要があります。総合的な判断が必要という点では、情報セキュリティ監査と技術的検証の両方に通じた業者に依頼するのもひとつの方法でしょう。
 なお、業者へ依頼する検証内容については『地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書』の「別添3 技術的検証」の「外部委託発注仕様書記載項目(例)」が参考になります。
 技術的検証は、一度行えばいいというものではなく、新たな攻撃に耐えられるよう定期的な検証が必要です。このため、最低でも年に1〜2回は技術的検証を行い、常に必要な情報セキュリティ対策を行うことをお薦めします。

個人で取り組めることも…

 専門的な技術的検証は、業者に頼らざるを得ませんが、“弱点”をなくすという点では個人で取り組めることもあります。OSのセキュリティホールを修正し、常にOSのバージョンが最新版になっているかをチェックすることなどは、その代表例です。その他にも、(1)定められた桁数でパスワードを設定しているか、(2)ウイルス対策ソフトのパターンファイルの版数が最新版になっているか――などがあります。このような個々が行うチェックも、広義の意味では技術的検証の一環といえるでしょう。


 これまで3回の連載を通して、情報セキュリティ監査の必要性・重要性について述べてきましたが、情報セキュリティ監査は情報セキュリティ水準の向上のために対策を立て、それを検証するものです。
 内閣府の情報セキュリティ政策会議では『第1次情報セキュリティ基本計画』に、2006年9月を目処に『地方公共団体における情報セキュリティ確保にかかわるガイドライン』の見直しと、情報セキュリティ監査の対策を推進する計画を盛り込みました。〈IT利用に不安を感じる個人(住民)を限りなくゼロにする〉ためにも、電子自治体の実現とともに、情報セキュリティ対策の見直し・改善を習慣化させることが必要です。そして、一番重要な情報セキュリティ対策は、職員各自が「情報セキュリティ対策は一人ひとりが行っていくものだ」と認識することでしょう。



バックナンバーへ戻るspacer新風トップへ