bannertrendnews.gif


IT障害の適切な予防と迅速な復旧へ注目される
「自治体ISAC」の動向




 
 今年2月、政府は“「セキュア・ジャパン」の実現に向けて”と題して、わが国で初めての情報セキュリティ問題に関する中長期計画「第1次情報セキュリティ基本計画」を公表しました。計画では、自治体が今後3年間に取り組むべき重点課題として、以下の3点を示しています。
1.情報セキュリティ確保に係るガイドラインの見直し等(平成18年9月めど)
2.情報セキュリティ監査の実施
3.「自治体情報共有・分析センター(仮称)」の創設による情報共有体制の整備(平成18年度末まで)

 こうした状況を踏まえ、総務省では昨年6月に「地方公共団体の各種インシデントの適切な予防及び復旧に役立てる仕組み(自治体ISAC)の具体化のための調査研究会」(座長・村岡洋一早稲田大学副総長)を発足。このほど、IT障害の情報共有機能やLGWANを活用したネットワーク監視サービスの在り方などの検討結果をまとめました。総務省ではこの報告書をもとに今年度、「自治体情報共有・分析センター(仮称/通称・自治体ISAC)」の整備に向けた実証実験を予定しています。


情報共有化で全体レベルを底上げ

 ISAC(アイザック/Information Sharing & Analysis Center)」とは聞き慣れない言葉ですが、これはコンピュータウイルスへの感染や情報漏えい、システムの機能不全など、各種IT障害の情報や対策情報を共有することで、適切な予防と迅速な復旧に役立てる“仕組み”のことです。
 「自治体ISAC」は、この仕組みを採り入れて地方公共団体に特化したIT障害について自治体間で情報共有し、自治体全体のセキュリティレベルの底上げを図ろうというものです。情報共有のプロセスは通常、(1)情報の収集→(2)分析→(3)加工→(4)提供・アドバイス→(5)対策の実施、の5つに分けられますが、このうち自治体ISACでは(1)から(4)までを担うことになります。
 また、その運営主体は未定ですが、研究報告書では「地方公共団体が運営に参画する公的な組織が適当」という考え方が示されています。
 自治体では、住民の個人情報や企業の経営情報など大量の重要情報を保有するとともに、いまや業務の多くをITへ依存しており、行政手続のオンライン利用など電子自治体の取り組みが進展するにつれ、その傾向はますます顕著となっていきます。このため万が一、IT障害によってシステムが停止した場合、広範囲の業務が中断するといった事態へ陥らないとも限りません。
 また、自治体はLGWANで相互に接続されているため、対策を怠るところが一つでもあるとそこがボトルネックとなり、住民の生活や地域社会、経済活動へ重大な支障が生じるだけでなく、その障害が他の団体へ連鎖的に拡大する怖れもあります。
 こうした事態を回避するためには、すべての自治体で“一定以上のセキュリティレベル”の確保が必要ですが、人材や予算面で厳しい制約もあり、単独の自治体ではできることにも限界があります。
 加えて、数多くの専門機関から情報セキュリティに関する情報が発信されるものの、情報量の多さに却って「(自分たちにとって)何が問題で、何をすべきか分からない」といった混乱も生じています。この点では、実際に発生した、あるいは発生が懸念されるIT障害やその対策について、迅速かつ的確に判断が下せるような“情報”が提供されると自治体にとっても大いに役立つことになるでしょう。

情報共有にはLGWANの活用を想定

 さて現在、自治体ISACが担う情報共有の具体例としては、次のようなものが想定されています。
1.新たなコンピュータウイルスの発生やホームページの書き換え、電子申請システムへの攻撃といった意図的な脅威の事故報告を踏まえた点検や対策の呼びかけ。
2.実際に発生した情報漏えいなどの事例分析を踏まえた点検や対策の呼びかけ。
3.共通的に多い不適切なパスワード設定などのミスの点検や是正の呼びかけ。情報セキュリティポリシーで許可していないWebメールなど不正利用の対策の呼びかけ。
4.各種情報セキュリティ技術の導入状況や評価、事業継続計画の策定状況など他の自治体と比較できるような情報の提供。

 この情報共有の対象について、先の研究報告書では電子自治体を構成する情報システムやネットワークなどと包括的にとらえていますが、まずは優先的に各部門が共通利用する「庁内LAN」「LGWAN接続部分」「インターネット接続部分」で発生するIT障害に関して、情報の共有化を図るよう提言しています。


 なお、ここで収集・提供される情報は極めてセンシティブであることから、通信経路が暗号化されたLGWANの活用が想定されています。これにより運用面での安全性を高めるとともに、新たなコスト負担などを回避しようというものです。
 総務省では、今秋に「自治体情報共有・分析センター」創設に向けた実証実験を実施する計画で、5月から6月には実験へ参加する自治体の公募を開始する予定です。
 実験では、自治体ISACへ期待される機能やIT障害の情報など自治体のニーズの調査・分析を行うとともに、図2に示した情報共有のプロセスを試行し、さらに障害発生時の演習を通じて運用体制の構築に向けた検討や課題点の整理などを行います。この成果は今年度末をめどにまとめられる計画です。
 Winny騒動では官房長官による異例の注意喚起が行われるなど、いまや情報セキュリティ対策は社会全体で取り組む課題となりました。自治体の情報セキュリティ対策においても、従来の“対処療法”的な取り組みから脱却し、今後は事故前提社会における「行政サービスの継続性」の観点から、“適切な予防”と“迅速な復旧”を前提とした対策を講じることが必要です。こうした点からも、自治体が連携して行政情報を自ら守るという「自治体ISAC」の今後の経過が注目されます。



バックナンバーへ戻るspacer新風トップへ