住民情報は自治体にとって最も重要な情報資産であり、情報漏えい対策はもはや緊急課題となっています。
単にITシステムのみの強化や見直しだけではなく、職員の教育やマネジメントも含めた「情報資産のセキュリティが全体的にいかに確保されているか」という観点で、情報セキュリティ対策を捉えることが重要です。そのために現状の情報セキュリティ対策の有効性、妥当性を評価する具体的な手段として「情報セキュリティ監査」があります。
自治体では情報セキュリティ監査はいったいどのくらい実施されているのか
地方自治情報管理概要(平成18年9月、総務省)によると、情報セキュリティ監査を実施している団体は、都道府県においては37団体(78.7%)、市町村においては537団体(29.1%)という状況です。「情報セキュリティ監査の実施状況の推移」(表1)
また、情報セキュリティ監査を実施している団体のうち、その実施内容をみると、都道府県においては、「内部監査及び外部監査を合わせて実施している」が15団体(40.5%)と最も多く、市町村においては、「団体内部で実施してる(内部監査の実施)」が294団体(54.7%)と最も多いことから、市町村での外部監査は、都道府県に比べるとまだ進んでいないのが現状です。「情報セキュリティ監査の実施内容」(表2)
しかしながら、行政手続きのオンライン化は着々と進み、安全・安心な住民サービスの提供の維持はますます必要とされることから、今後も自治体における情報セキュリティ監査は年々促進されていくでしょう。
|
 |
|
|
大溝 裕則 Hironori
Omizo
 |
| NPO日本セキュリティ監査協会(JASA)発起人メンバーであり、同協会が認定する公認情報セキュリティ主任監査人である。NPO日本ネットワークセキュリティ協会(JNSA)では、セキュリティ監査ワーキンググループリーダーを務める。現(株)JMCグループCISO兼CPO。 |
|
 |
|
|
|
|
|
|
|
表1 情報セキュリティ監査の実施状況 (2002)
| |
実施している |
実施していない |
無回答 |
地方公共団体(N=172)
|
4.7%
|
95.3%
|
0% |
大企業(N=542)
|
20.0%
|
79.7%
|
0.4% |
中小企業(N=951)
|
7.2%
|
91.7%
|
1.2% |
病院(N=109)
|
4.6%
|
95.4%
|
0% |
大学(N=175)
|
9.1%
|
90.3%
|
0.6% |
| その他学術/研究機関(N=70) |
11.4% |
88.6% |
0% |
資料:総務省「情報セキュリティ対策の実施状況調査結果」
表2 情報セキュリティ監査の実施有無(2004)
| |
実施している |
実施していない |
無回答 |
地方公共団体(N=180※)
|
9.4%
|
90.6%
|
0% |
| 上場企業(N=438) |
24.2% |
74.9% |
0.9% |
| 病院(N=90) |
4.4% |
93.3% |
2.2% |
| 大学(N=155) |
7.1% |
91.6% |
1.3% |
| その他学術/研究機関(N=40) |
22.5% |
77.5% |
0% |
資料:総務省「情報セキュリティ対策の実施状況調査結果」
※政令市および市役所
自治体における効果的な情報セキュリティ監査の進め方とは
地方自治体の情報セキュリティ監査の実施にあたっては、総務省発表の「地方公共団体における情報セキュリティ監査のあり方に関する調査報告書」が基本となります。情報セキュリティに関する管理基準や実施手順、技術的検証手法、セルフチェック(自己点検)リストなどがまとめられています。実際に情報セキュリティ監査を行うには、まず監査の対象とテーマなど監査の内容を決めて実施する必要があります。
表3 セキュリティ監査の内容(N=17自治体)
| セキュリティポリシーの内容と運用全般の検証 |
58.8% |
| ネットワーク設計の検証 |
5.9% |
| クライアントやサーバで使用しているOS、
アプリケーションの内容と運用全般の検証 |
29.4% |
ネットワークの管理、監視体制の検証
|
35.3% |
| 外部からの侵入テストによる検証 |
29.4% |
| 外部からの改ざんテストによる検証 |
11.8% |
| 外部からの不正アクセステストによる検証 |
23.5% |
| その他 |
5.9% |
資料:総務省「情報セキュリティ対策の実施状況調査結果」(2004年)
総務省の調査では、「セキュリティポリシーの内容と運用全般の検証」を実施した自治体が半数以上を占め、次いで「ネットワークの管理、監視体制の検証」、「外部からの侵入テストによる検証」の順となっています。必要に応じて各項目を組み合わせさまざまな観点から監査を実施すると、現状把握と今後のセキュリティ対策計画も立てやすく、より効果的なものとなるでしょう。予算や重要度に応じて、選択して実施することもできます。さらに、すべての組織を監査対象とぜずに、優先順位の高い一部の組織の監査を実施する方法もあります。
また、情報セキュリティ監査を実施していない理由としては、「実施する知識・ノウハウがない」と「予算が取れない」が多くなっています。庁内に職員から構成される内部監査チームがない場合も多い現状では、まず内部監査チームの体制をつくることを目的に、専門家を外部から招くなどノウハウを内部に蓄積することも有効でしょう。内部に体制ができれば、外部に委託しなくてもよい監査項目もでてくるため、コスト面のメリットも考えられます。
情報セキュリティ監査は、住民がより安心して利用できる電子自治体を実現するために、PDCAサイクルを定期的に実施し、自治体の情報セキュリティレベルを高く維持し、常に新たな脅威からも情報資産を守り、定期的に実施していくことが最も重要なのです。
|
HOME
会社概要