自治体情報セキュリティポリシーとは？ガイドライン改定のポイントも解説

1.情報セキュリティポリシーとは？

情報セキュリティポリシーとはどういったものを指すのでしょうか。この章では、情報セキュリティポリシーの概要と自治体に必要な理由について説明します。

1-1.情報セキュリティポリシーの概要

総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、情報セキュリティポリシーについて「組織内の情報セキュリティを確保するための方針、体制、対策等を包括的に定めた文書」と示されています。

昨今、サイバー攻撃などによる情報漏えいや元従業員によるデータ持ち出しなどさまざまなセキュリティ事故が多発しています。要因としては、従業員が情報セキュリティへの意識が低いことや法規の周知徹底が不足していることなどがあります。

組織全体でそういった脅威から守るため、情報セキュリティの強化が重要視されているのです。

1-2.自治体に必要な理由

行政や自治体は、法令等に基づいて住民の個人情報や企業の経営情報等の重要な情報を多く保有しています。その中には、他の企業や団体などでは代替できない情報も多く存在しています。

そういった情報に対して、昨今ではSaaSやIaaSなどのシステム導入が進んでいますが、業務における依存度が高まるほど、インシデント時の影響が大きくなります。

そのため、情報セキュリティ製品などの技術だけで管理するのではなく、実際に使用する職員などに対しても情報セキュリティ管理による組織的な対策も行い、セキュリティレベルの向上と維持に繋げなければなりません。

2.「地方公共団体における情報セキュリティポリシーに関するガイドライン」について

「地方公共団体における情報セキュリティポリシーに関するガイドライン」とはどういうものなのでしょうか。この章では、「地方公共団体における情報セキュリティポリシーに関するガイドライン」について紹介します。

2-1.ガイドラインの方針・経緯

「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは、地方公共団体における情報セキュリティポリシーの策定を推進するため、2001年3月に策定されました。その後、サイバー攻撃の増加などといった情勢の変化やインターネット業界の技術向上などで時代にあったガイドライン改定が行われてきました。

「地方公共団体における情報セキュリティポリシーに関するガイドライン」には、地方公共団体情報システムの標準化の推進を図るための基本的な方針が記載されております。

自治体では情報システム整備および運用にあたっては、「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考にしながら、情報セキュリティ対策を行うよう記しています。

2-2.構成

「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、下図のような構成となっており、組織の実態に合わせ、必要に応じて推奨事項も含めて、情報セキュリティポリシーを策定するよう記されています。

出典：総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」

自治体システム、ネットワークやセキュリティ関してのご相談などNTT東日本のエンジニアにて無料で対応いたします。マルチベンダー環境におけるシステムの構築から運用まで一元的な対応ができますので、ぜひお気軽にお問合わせください。

3.自治体が情報セキュリティポリシーを運用するまでの流れ

「地方公共団体における情報セキュリティポリシーに関するガイドライン」に基づいて、情報セキュリティポリシーを策定すると紹介しましたが、情報セキュリティポリシーの策定から導入に至るまでどのように進めればよいのでしょうか。

この章では、自治体で情報セキュリティポリシーを策定し運用するまでの流れを説明します。

3-1.策定〜導入

「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、情報セキュリティポリシーの策定から導入まで下図のようなプロセスで行うよう記されています。

また、組織内のさまざまな部局の情報資産に係る問題を取り扱うことから、責任の所在を明確にすることも大切です。

情報セキュリティ担当者のみが策定に関わるのではなく、全ての部局の長、情報システムを所管する課室長及び情報セキュリティに関する専門的知識を有する者などで構成する組織又はこれに代わる組織（一般的には情報セキュリティ委員会と呼びます）で策定するようにしましょう。

出典：総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」

3-2.導入後の見直し

情報セキュリティポリシーの実効性を確保や情報資産や情報システム等の変化、情報セキュリティに関する脅威や対策等の変化に対応していくためには、情報セキュリティポリシーの評価・見直しを定期的に行いましょう。

情報セキュリティ対策では、下図のような「PDCAサイクル」と呼ばれるプロセスがあり、このサイクルを繰り返すことによって情報セキュリティは常に確保されます。

出典：総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」

自治体システム、ネットワークやセキュリティ関してのご相談などNTT東日本のエンジニアにて無料で対応いたします。マルチベンダー環境におけるシステムの構築から運用まで一元的な対応ができますので、ぜひお気軽にお問合わせください。

4.23年3月のガイドライン改定の主なポイント

「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、2023年3月に昨今の情勢と情報セキュリティインシデントに対応するべく、大きく改定されました。

この章では、その主なポイントについて紹介します。

4-1.クラウドサービス利用のための情報セキュリティ対策

今回の改定では、クラウドサービスの特性を踏まえた情報セキュリティ対策を行うため、新たに「地方公共団体におけるクラウド利用等に関する特則」が追加されました。

ここでは、特則が追加された背景や具体的な対策について紹介します。

4-1-1.背景

自治体では今後、標準準拠システムの利用が義務付けされるのにともない、ガバメントクラウドの普及が見込まれています。ガバメントクラウドとは、行政機関が共通で利用できるクラウドサービスのIT基盤で、主にはマイナンバー利用事務系の標準準拠システム等で利用されることが想定されています。

以上のことから、情報の特性を踏まえて追加されました。

4-1-2.具体的な対策

では、実際にどのような対策を行うべきでしょうか。主要な追加点をいくつか紹介します。

項目名	内容
組織体制	クラウドサービスを利用する際には、複数の事業者の存在・責任の所在を確認する。
物理的セキュリティ	クラウドサービス事業者が利用する資源の処分をする者は、セキュリティを確保した対応ができているか確認する。
人的セキュリティ	最高情報セキュリティ責任者が中心となって、定期的にクラウドサービスを利用する職員等の情報セキュリティに関する意識向上、教育及び訓練を実施する。
技術的セキュリティ	クラウドサービス事業者が収集し、保存する記録の保護対応について、対策や機能に関する情報を確認し、保護が実際にされているのかチェックを行う。

4-2.外部委託のセキュリティ対策

さらに、追加された点として「外部委託のセキュリティ対策」があります。なぜ追加しなければならなくなったのでしょうか。またどのような内容が記載されたのでしょうか。

4-2-1.背景

「外部委託のセキュリティ対策」が追加された大きな理由は、昨今問題となっている外部委託先の情報漏えい問題がきっかけです。

この問題は、企業や自治体が保有している機密情報や個人情報等について、外部委託先の情報セキュリティの認識の甘さや脆弱性への対応の遅さが原因で発生しており、どこの企業・自治体で発生してもおかしくありません。そのため、今後同様の事例が発生しないよう追加されました。

4-2-2.具体的な対策

では、実際にどのような対策が記載されたのでしょうか。主要な追加点を紹介します。

• 情報のライフサイクル全般での管理の必要性

外部サービスを利用する際の情報セキュリティ対策は、選定や契約時における対策だけでなく、導入・構築、その後の運用・保守、更には契約終了時に至るまでしっかり追って確認する。

• サーバールームの入退室管理の徹底

管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証や入退室管理簿の記載による入退室管理を行う。

•  職員・委託先従業員のセキュリティ意識の重要性

職員・委託先従業員に向けた情報セキュリティ教育などを行い、情報の取り扱いについて周知徹底する。

4-3.サイバー攻撃への情報セキュリティ対策

また、昨今国内外の重要インフラにおいて被害が確認されているサイバー攻撃についても同様に情報セキュリティ対策を講じるよう記載されました。

記載の背景や具体的な対策について見ていきましょう。

4-3-1.背景

近年では、サイバー攻撃も高度化・複雑化しており、自治体も標的にされることがあります。

たとえば、とある自治体ではランサムウェアに感染したことで業務停止になったり、他の自治体ではマルウェアに感染して市民の個人情報や自治体が保有する機密情報が漏えいしたことがありました。

そのため、近年特に猛威を振るっているランサムウェア・Emotet・フィッシング攻撃に対して、有効と考えられる対策が組み込まれ、脅威に対して対策を講じられるよう明記されています。

4-3-2.ランサムウェアへの対策

ランサムウェアとは、身代金を要求するマルウェアの一種です。ランサムウェアは、感染したパソコンをロックしたり、ファイルを暗号化したりすることで使用不能にし、元に戻すことと引き換えに「身代金」を要求するメッセージを表示します。

「地方公共団体における情報セキュリティポリシーに関するガイドライン」で示された主な対策は以下のとおりです。

• ネットワークの分離や分割が正しく設定できているか確認する。
• パスワードを第三者に推測されないようなものに設定し、システム・機器ごとに異なるものを設定する。また、デフォルト値での設定をしない。
• 利用しているネットワーク機器やリモートデスクトップのソフトウェアの脆弱性を速やかに修正する。

4-3-3.Emotetへの対策

Emotetとは、古くからあったマルウェアの一種で、悪意のある者により、不正なメールに添付されるなどして、感染の拡大が確認されています。このウイルスは、感染してもウイルス対策ソフトの検知ができないような仕組みを入れられているため、最新の手口について知り、周知する必要があります。

「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、主な対策として以下のような方法が記載されています。

• 組織内への注意喚起の実施
• 信頼できないWord文書やExcelファイルにおいてマクロの実行禁止
• メールの監査ログの取得や内部・外部SOCやNOCを利用した常時監視

4-3-4.フィッシングへの対策

フィッシングとは、公的機関や金融機関など、実在する組織や個人になりすました攻撃者がメールなどを送信し、正規のWebサイトを模倣した偽サイトに誘導させることで、認証情報、クレジットカード番号などといった重要情報を搾取する手口です。

「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、主な対策として以下のような方法が記載されています。

• メールやSMSに添付されているURLは安易にクリックせず、Webサイトにアクセスする際は、あらかじめ登録しているURLからアクセスする
• Webサービスにログインする場合に、多要素認証等の設定が可能な場合、有効化する

5.自治体の情報セキュリティ対策ならぜひNTT東日本にご相談ください

自治体で情報セキュリティポリシーを策定することには、課題もあります。そこで、専門的な知識や技術を持ったパートナーが必要です。NTT東日本は、自治体の情報セキュリティ対策に豊富な経験と実績を持っています。

たとえば、今後普及が進む「ガバメントクラウド」では、セキュリティの知見や知識をもつ専門職の人材がいなくても、NTT東日本のAWSやMicrosoft Azureなどといった指定クラウドに対して知識をもったクラウドエンジニアがネットワークからクラウドの構築、運用までフルサポートします。

また、NTT東日本のクラウド基盤を活用した公営企業会計システムやネットワーク・セキュリティ監視といった自治体向けアプリケーションサービスについて、LGWANを経由した提供も可能です。

さらに、「押印などアナログな業務をクラウド化やDX化したい」「各種申請業務など一部手作業や属人的な業務をもっと効率化したい」などといった業務改善のサポートも可能です。

自治体の情報セキュリティ対策に関するお悩みは、ぜひNTT東日本にご相談ください。

NTT東日本の自治体クラウドソリューション

自治体情報セキュリティポリシーについてまとめ

自治体情報セキュリティポリシーについて、ガイドライン改定のポイントも踏まえて解説しました。

自治体では、住民や事業者から収集した個人情報や機密情報などといった情報資産を取り扱っていますが、情報の管理体制などが問題になることがしばしばあります。

そのため、自治体では情報セキュリティポリシーを策定し、自ら情報資産を守っていく必要があります。

貴庁での情報セキュリティにおいて、お悩みのことがありましたらぜひNTT東日本へお気軽にご相談ください。