こんにちは。「クロジカサーバー管理」コンサルティングチームの三谷です。
総務省は、三層の対策の効果や課題、新たな時代の要請をふまえて効率性・利便性を向上させた新たな自治体情報セキュリティ対策を検討し見直がされています。今回は、地方公共団体の情報セキュリティポリシーに関するガイドラインについて触れていきたいと思います。
地方公共団体ガイドラインの「情報セキュリティポリシー」は、「情報セキュリティ基本方針」と「情報セキュリ ティ対策基準」から構成されています。「情報セキュリティ基本方針」は、情報セキュリティ対策における基本的な考え方を定めており、「情報セキュリティ対策基準」は、「情報セ キュリティ基本方針」に基づいて情報システムに必要となるセキュリティ対策の基準を定めているものです。
情報セキュリティクラウドについて、
いま求められているセキュリティ課題と対策方法について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「次期自治体情報セキュリティクラウド - いま求められている」セキュリティ課題と対策方法
ガイドラインの目的とは?
情報セキュリティポリシーとは、組織内の情報セキュリティを確保するための方針、体制、対策を定めた文書です。地方公共団体における情報セキュリティは、各地方公共団体が保有する情報資産を守るにあたり自ら責任を持って確保ものであり、情報セキュリティポリ シーも各地方公共団体が組織の実態に応じて自主的に策定するものになります。
※各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考として、情報セキュリティポリシーの考え方・内容について解説したものになります。
※記述した内容は、参考として示したものにとなり各地方公共団体が独自の構成・表現により、情報セキュリティポリシーを定めることを妨げるものではありません。
既に、多くの地方公共団体において、情報セキュリティポリシーが策定されていますが、今後は情報セキュリティポリシーの定期的な評価・見直しを行い、情報セキュリ ティ対策の実効性を確保するとともに、対策レベルを高めていくことが重要とされており、改定を通じて、新たな情報機器、サービス及び脅威に対応した情報セキュリティ対策を追加しているため、情報セキュリティポリシーの評価・見直しを行う際にも、活用されることが期待されています。
ガイドラインの経緯とは?
総務省では、地方公共団体における情報セキュリティポリシーの策定を推進するため、ガイドラインを策定しています。策定したガイドラインの一部(1〜3)に対して改定・追加を行なった後、1〜6含めた全ての改定を行なってきました。
- 外部委託に関する管理
- 情報セキュリティ監査
- 無線 LAN 等の新 たな技術動向等を踏まえた記述
- 地方公共団体のセキュリティ水準の強化
- 「重要インフラにおける 情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」への対応
- 分かりやすい表現への変更
一方、政府の情報セキュリティ政策会議は、「第 1 次情報セ キュリティ基本計画」を決定、この中で、地方公共団体に関して、政府は「地方公共団体における情報セキュリティポリシーに関するガイドライン」の見直しを行うこととされ、見直しに当たっては、重要インフラ指針を踏まえるとされました。
また、政府の情報セキュリティ政策会議は、「第 1 次情報セ キュリティ基本計画」に基いた各種の取り組み進展や社会環境の変化などを踏まえて、引き続き国全体として情報セキュリティ問題への取り組みを推進するために、「第 2 次情報セキュリティ基本計画」を決定、この中で、地方公共団体に関して、小規模な地方公共団体も含めた全ての地方公共団体において、望ましい情報セキュリティ対策が実施されることを目指し、対策の促進を行うこととされました。
政府の情報セキュリティ政策会議は、「第 2 次情報 セキュリティ基本計画」に基いた官民の各主体による取り組みを継続しつつ、新たな環境変化に対応した政府の取り組みを進めるために、「第 2 次情報セキュリティ基本計画」を含んだ「国民を守る情報セキュリティ戦略」を決定、インターネットや情報システムの情報通信技術を利用者が活用するに当たって脆弱性を克服し、全ての国民が情報通信技術を安心して利用できる環境(高品質、高信頼性、安全・安心を兼ね備えた環境)を整備、世界最先端の「情報セキュリティ先進国」を実現することを目標としています。
さいごに
利便性や効率性が高まりを見せた一方で情報セキュリティ対策の強化が重要視されています。自治体においては情報セキュリティの確保に絶対安全ということがないことから、障害・事故、システム上の欠陥の未然防止に止まらず、発生した場合の拡大防止・迅速な復旧、再発防止の対策を講じていくことを地方公共団体の長をはじめ、全ての職員から外部委託事業者に至るまで、業務の遂行にガイドラインを遵守する義務が求められています。本稿が検討や見直しのきっかけになれば幸いです。
出典:総務省 地方公共団体における情報セキュリティポリシーに関するガイドラインを加工して作成
情報セキュリティクラウドについて、
いま求められているセキュリティ課題と対策方法について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「次期自治体情報セキュリティクラウド - いま求められている」セキュリティ課題と対策方法
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ