主張・講演

行政における情報セキュリティ対策

組織で取り組む情報管理〜情報セキュリティ対策を中心として〜

2003年6月4日(水)に,財団法人大阪府市町村振興協会おおさか市町村職員研修研究センター(マッセ大阪)殿の「IT社会における地方行政の役割(連続講座)第1回」にて「組織で取り組む情報管理〜情報セキュリティ対策を中心として〜」というテーマで講演させていただいた内容です。同センターのご好意により公表させていただきました。なお,講演の要旨は,同センターの『連続講座 IT社会における地方行政の役割 講演録』(平成16年2月)およびWebサイト( http://www.masse.or.jp/gaiyo/jigyo/kenkyus/h15semina_all.htm)にあります。

キーワード

行政,地方公共団体,セキュリティ,セキュリティポリシー,情報セキュリティ監査制度,ISMS認証制度,PDCAサイクル

1 情報セキュリティの概要
1.1 情報セキュリティの特徴
1.2 情報セキュリティ対策とは
2 セキュリティ・ポリシー
2.1 セキュリティ・ポリシーの必要性と問題点
2.2 セキュリティ・ポリシーの策定方法
2.3 セキュリティ・ポリシーの運営
3 セキュリティに関する各種基準
3.1 主要な基準・ガイドライン
3.2 ISMS認証制度
3.3 情報セキュリティ監査制度
4 組織で取り組む情報セキュリティ対策
4.1 情報セキュリティ対策は全社的活動である
4.2 情報セキュリティ対策は継続的改善活動である
4.3 情報システム部門のアウトソーシング
4.4 情報ガバナンスとCIO

いただいたテーマは「組織で取り組む情報管理」ですが,あまりにも対象が大きいので,「情報セキュリティ対策は組織として取り組むことが必要だ」という内容にさせていただきます。
 電子自治体といわれるように,地方公共団体の情報化は急速に進んでいます。それに伴い,情報セキュリティ対策が大きな課題になっています。県のCIOはセキュリティに高い関心を持っているとの調査もあります。

なお,地方公共団体にとって個人情報保護は情報セキュリティでの最大の対象ですが,あまりにも問題が多岐にわたります。話が発散してしまうのを避けるために,ここでは割愛させていただきます。


1 情報セキュリティの概要

いまさら,情報セキュリティとは何か,なぜ地方公共団体で情報セキュリティ対策が重要なのかなどについてお話しする必要はないと存じますが,話の順序ですので,トピックス的に述べることにします。
 情報セキュリティとは,情報システムの脆弱性を減少させることにあります。情報資源への脅威は多様であり,情報システムの脆弱性が最も脆弱な個所で決定されます。そのために,情報セキュリティ対策は,全社的なマネジメントとして運営する必要があります。

情報セキュリティの特徴

情報セキュリティの定義

情報セキュリティとは,情報システムのハードウェアやデータなどの情報資産を災害や不正行為などの脅威から守ることです。その守る内容について,国際規格(ISO 7498-2:1989)では,機密性,完全性,可用性の3つをあげています(この英語の頭文字から「CIA」と覚えるとよいでしょう)。

Confidentiality(機密性)
許可された者のみが情報にアクセスできることを確実にする。
地方公共団体では,特に個人情報保護の観点から機密性確保の要請は非常に高い
Integrity(完全性)
情報及び処理方法の正確さ及び完全である状態を安全防護すること。
地方公共団体でこれが損なわれると,行政事務を円滑に処理できなくなる
Availability(可用性)
許可された利用者が、必要なときに情報にアクセスできることを確実にすること。
地方公共団体では,特に災害時などでこれが維持できないと困る。

その後,新しい状況に対処するするために,ISOはGMITS(ISO/IEC JTC 1/SC 27)において,次の3項目が追加されて6項目になりました。
  Authenticity(真正性)情報の身元保証
  Accountability(責任追跡性)行為形跡の保証
  Reliability(信頼性)意図と結果の整合性

脅威が多様である

モノへの脅威と比較して,情報資産への脅威には多様です。

  自然災害・事故(地震,火事,水害,機器の転倒など)
  機器の故障・誤動作(ハードウェアだけでなくソフトウェアもある)
  インターネット利用
    ウイルス感染
    不正アクセス
    秘密漏洩
    他サイトへの踏み台
  内部者・関係者
    意図的な行為
    人為的ミス

このうち,インターネットでの「社会的責任」と,内部不正に関する「性弱説」について,少し説明します。

社会的責任
 セキュリティ対策を行う理由は,単に自組織が被害を受けないためではなく,他人や他組織に迷惑をかける加害者になることを防ぐためです。「当社では,秘密にするような情報はネットワークに入れていないからセキュリティ対策などは不要だ」というのでは困ります。
 特に行政サイトでは,住民情報を持っていること,一般的に信用されていること,サイバーテロの標的になりやすいことなどから,社会的責任が高いことを認識する必要があります。
性弱説
 内部セキュリティでは「仲間を疑うようでやりにくい。士気にも影響する。性善説でいこう」などとしがちです。でも,それは不適切です。
 人間は誘惑に弱い。目の前に機密情報があれば見たくなるし,発覚せずに犯行できる機会があれば,つい手を出してしまいます。内部セキュリティ対策をするのは,そのような誘惑をして,仲間を罪人にしないためのサービスであり義務なのです。「性善説・・・」は,仲間を陥れる裏切り行為なのです。
 (私は,これを中央大学の内田勝也先生に聞きました。先生は保険会社勤務時代に上司から伺ったそうです)

情報システムは脆弱性が大きい

上記のような脅威がインシデントとして発生したとき,情報システムでは次のような特徴があります。犯罪を例にして説明します。

被害の甚大性
簡単な手段で大規模の犯行ができます。一本の電線を切断しただけで通信を麻痺できますし,簡単な操作で数百万件にもおよぶデータを消滅できます。情報システムが他人の財産や情報を取扱うようになってくるとともに,その被害は社会的に大きな影響を及ぼすようになりました。
被害の即時性
金庫に入っている数十億円の札束を盗むには,それなりの道具と時間が必要ですが,コンピュータにある情報は,パソコンさえあれば地球の裏側からインターネットにより企業内のネットワークに侵入し,大量の重要なデータを一瞬のうちに破壊したり取り出したりすることができます。
被害発見の困難性
多くの預金口座から利子の端数を特定の口座に入れて横領する犯罪がありましたが,このように発見しにくい犯罪が発生します。
犯罪の遠隔性
通常の犯罪では,犯人が犯行現場にいる必要があります。それに対してネットワークを用いた犯罪では遠隔地から犯行できるし,プログラムの実行による犯罪では時間的にも犯罪場所にいる必要がありません。
追跡の困難性
物理的な犯罪では指紋や足跡など多くの痕跡が残りますが,情報システムによる犯罪では,その痕跡はログ程度しかありませんし,ログを残さないような手口もあります。

ここで重要なのは,このような脅威から保護する手段が通常の感覚と異なるので,頭では理解しても日常行動ではとかくおろそかになりがちだということです。自宅を留守にするときは鍵をかけるでしょうし,会社で高額小切手を机上に放置したまま帰宅する人はいません。ところが,自分のパスワードを秘密にしたり,機密データをアクセスできないようにしたり暗号化したりすることを,無意識でも行うようにはなっていません。そのために,通常以上にルールを作り守らせることが必要になるのです。

情報セキュリティ対策

情報セキュリティ対策の基本的な考え方

脅威そのものをなくすことは困難です。しかし,その脅威が実際の事件や事故(インシデントという)になるのを防ぐことはできます。それには,情報システムの脆弱性を減少させればよいのです。すなわち,情報セキュリティ対策とは,情報システムの脆弱性を減少させる手段を講じることなのです。

当然,脆弱性を皆無にすることはできません。脅威全体を固有リスクといいます。そのなかには,ウィルスの脅威のように日常的に発生するリスクもあれば,大地震のように発生する確率が小さいものもあります。また,インシデントになったとき,人命や財産に関するような大被害からインターネットの私用のような小さい被害まで多様です。

リスクの大きさは「発生確率×被害の大きさ」で表されます。ほとんど発生しないリスクや発生しても被害が小さいリスクは「仕方がない。これが発生したときは,企業(経営者)の責任でカバーする」とするほうが適切でしょう。それを受容リスクといいます。情報セキュリティ対策とは,情報システムの脆弱性を減少させて,固有リスクを受容リスクの限度内にすることだといい直せます。
 その受容リスクの大きさは,民間企業であればリスクの大きさとセキュリティ対策費用とのバランスで決定します。

行政での受容リスク

しかし行政では,このようなバランス論が住民に受け入れられるかどうか疑問が残ります。行政の費用は税金ですから,バランス論が重要なのは当然ですが,住民は行政には民間企業よりも格段の信用を期待しています。住基ネットワークは通常の情報システムよりもセキュリティ対策がとられていますが,それでも不十分であるとの意見も多くあります。

また,受容リスクには「あまりにも被害が大規模なので対策の方法がない。それが起こったら倒産して解散すればよい」と腹をくくるものもあります。例えば通常の民間企業で未曾有の地震や戦争・テロに万全な対策をとることは不可能でしょう。その対策費用のために倒産してしまうかもしれません。
 ところが行政では,そのようなときにこそ行政の情報システムが円滑に稼動すること,すなわち危機管理が要求されます。
 そもそも行政は「責任を取る手段がない」のです。首長が自責引退しても解決になりませんし,倒産状況になっても結局は住民の増税あるいはサービス低下になるだけです。この「無責任性」が行政の情報セキュリティ対策の特徴であり,「説明責任=住民の合意」が重要になるのです。

桶の理論

脆弱性は最も弱い個所で決定されるとう「桶の理論」を理解することが必要です。どんなに優れた対策をとったとしても,1ヶ所でも不十分な部分があれば,それが脅威をインシデントになってしまうのです。
 そのためには,情報セキュリティ対策は,一部のスタッフの問題ではなく,総合的な観点から対処することが求められます。マネジメントとして管理運営するには「組織として取り組む」ことが大切なのです。

追記

リスク対策の種類

とかく情報セキュリティ対策では物理的あるいは技術的な対策が対象になりますが,それ以外にも多くの対策があります。これらを適切に組み合わせることにより,受容リスク内に縮小することが必要です。

リスク・コントロール
リスク・コントロールとは,リスクそのものへの対処です。
回避
リスクが起こりそうな状況を避けることです。重要な情報を取扱っているコンピュータは社外インターネットとは完全に切り離すようなことです。これは盗聴などの対象とするリスクは小さくなりますが,情報が有効に活用できないという新しいリスクが発生する場合もあります。
損失制御
リスクがインシデントになる確率を下げること,あるいは,インシデントになったときに損失を最小限に抑えること。ファイアウォールの設置により不正アクセスを防止することや,ウィルス感染になったパソコンをネットワークから隔離することなどがあたります。リスク対策の主なものはこれになります。
分離
損失の対象を分離することにより,インシデントが発生する確率は大きくなるが,インシデントの影響を小規模に抑えること。1台のサーバに多様な機能を持たせるとダウンしたときの影響が大きいので,多数のサーバで分担することなどです。損失の期待値は同じですが,一度の損害が小さいので扱いが容易になります。
結合
類似のリスクをまとめることにより管理を容易にすること。分散している多くのサーバを情報システム部門に集中設置することにより,専門家による管理を行うことができることなどです。これも損失の期待値を減らすものではありません。
リスク・ファイナンス
リスク・ファイナンスとは,インシデントが発生したときの大きな経済的損失を補填することです。当然そのための費用はかかりますし,損失の期待値ではその費用のほうが高いのが通常です。また,すべての損失を補填するとはかぎりません。
保険
もっともわかりやすいのは保険です。これは説明の必要はないでしょう。
保有
インシデントが起こったときのために引当金や積立金を設定しておくことです。
移転
損失を他人の責任にすることです。例えば,ASP業者と契約することにより,サーバに発生したインシデントによる損失を業者に移転できます。

2 セキュリティ・ポリシー

情報セキュリティ対策を全社的なマネジメントとして運営するには,その方針を明確にして周知させ実践することが重要です。セキュリティポリシー策定のポイントを取り上げます。また,情報セキュリティ対策は,継続的に向上する全社的運動であることを確認します。

セキュリティポリシーの必要性と問題点

セキュリティ対策を全社的運動としてマネジメントするには,セキュリティ対策の重要性と方針を社内外に明示して実践の組織化をする必要があります。社外へも公表することにより,社会的圧力により活動を継続する効果があります。特に行政では,説明責任が重要ですので,この公開を「公約」として実現責任を自ら課すことが求められます。

セキュリティポリシー策定状況

ポリシー策定は急速に増加しています。特に府県では,平成14年4月に約半数の府県が策定しており,民間大企業とほぼ同じ程度になっています。市町村では20%程度で民間中小企業と同じレベルですが,地方公共団体であるからにはこれでは困ります。しかし現在,電子自治体の動きが急速ですので,急速な増加が期待できます。

ポリシー策定状況

策定していない理由

セキュリティ・ポリシーを策定していない理由は,民間中小企業では「策定するための知識・ノウハウがない」ことが最大理由です。行政での統計ではないですが,おそらく市町村でもほぼ同じような事情でしょう。しかし,中小企業では「必要性を感じない」「問題が生じる心配がない」が高いのですが,これは中小企業でも不適切ですし,市町村がこのような認識ではいけません。

ポリシー策定をしない理由

セキュリティポリシーの策定方法

セキュリティポリシーの体系

情報セキュリティ対策に関する文書類は,一般には基本方針,対策基準,実施基準の3種類の文書になります。セキュリティポリシーというとき,このすべてを指すときと基本方針だけをいう場合がありますが,中央官庁を対象にした「情報セキュリティポリシーに関するガイドライン」(平成12年7月)では,基本方針と対策基準をセキュリティポリシーといっています。また,地方公共団体では,基本方針も政府の方針に合致することが求められます。

ポリシー体系

総務省『地方公共団体における情報セキュリティ対策に関する調査研究報告書』(平成14年2月)では,次のような説明をしています(「 」の部分)。

基本方針
「地方公共団体の情報セキュリティに関する基本的な方針を示すものとして、情報セキュリティに対する目標と、その目標を達成するために職員がとるべき行動が記載されるものである。セキュリティポリシーは組織としての方針であり、その内容を頻繁に変更するという性格のドキュメントではなく、したがって、特定のシステムや個々の脅威(リスク)などに具体的に言及した内容は含まない。」
これは,首長等情報セキュリティ対策の最高責任者が策定し,団体内外へ宣言するという形式になります。内部には,これがトップが率先して組織ぐるみで推進することを示し,外部には,その実現・維持・向上を公約することを示すものです。団体のWebサイトなどで公開するのが適切です。
対策基準
「対策基準は、セキュリティポリシーに沿って、地方公共団体における適切なセキュリティ対策が行われるために、職員が遵守すべきセキュリティ活動の基準を具体的に明文化したもの(ガイドライン)である。すなわち、対策基準はセキュリティポリシーに基づいて作成され、個々の情報資産のリスクへの対策と、情報資産の重要性を比較し、適切なセキュリティ対策を規定するものであり、その内容は必要に応じて変更される。」
通常は,ウィルス対策ガイドラインとかパソコン利用規程など,ガイドラインや規程の形式にします。例えば,「利用者はパスワード秘守をしなければならない」といったレベルの記述になります。
実施基準
「運用規程は、地方公共団体における適切なセキュリティを維持するために、職員が遵守すべきセキュリティ対策の実施手順を具体的に示したものである。すなわち、運用規程は、対策基準で定めた内容に対応する実施手順を個々の環境に合わせて記述したものであり、担当部署、担当職員など環境を特定して当該環境に関する実施手順として定められる。したがって、状況の変化に応じて頻繁に変更されることを予定している。また、運用規程には、従来の運用ルールとの位置関係、法制(条例・規則・通達)との対応関係などが記述される。」
基準を実施するための具体的な方法・手順を示したもので,手引書とかマニュアルのような形式になります。例えば,よいパスワードのつけ方とか,パスワードの定期的な変更方法などの記述になります。基本方針や実施基準は全社的に策定されますが,実施基準は担当部門レベルで策定することもあります。

ポリシー策定手順

セキュリティポリシーは,次の順序で策定します。

    組織・体制の確立
  → 基本方針の策定
  → リスク分析
  → 対策基準の策定
  → ポリシーの決定
  → 実施手順の策定

組織・体制の確立

セキュリティポリシー策定だけでなく,情報セキュリティ対策に関連する組織は下図のようになります。

ポリシー策定組織
セキュリティ管理委員会
首長あるいはCIOをセキュリティ統括管理責任者とし,各部門の局長クラスを委員とするステアリング・コミッティです。セキュリティポリシーの策定,改善目標の設定など全体のマネジメントをします。とかくここがセキュリティ管理部門の意見をそのままオーソライズするだけのお飾り的な存在になる危険があります。実際にリーダーシップを発揮しなければなりません。
セキュリティ管理部門
セキュリティ管理委員会の方針に基づき,具体的なセキュリティ対策を実施し,運用管理を行い,状況をセキュリティ管理委員会に報告や具申をするワーキンググループです。実際のセキュリティ対策を行う中心的組織です。セキュリティ担当の専任部門を新設したり,情報システム部門に担当させたりします。それにユーザ部門の部門セキュリティ管理者が兼任で参加します。ユーザ部門とのコミュニケーションが不十分だと,組織的な運動になりません。
ユーザ部門
情報セキュリティ対策は現場での活動が重要です。部門セキュリティ管理者とは,セキュリティ管理部門と協力して,エンドユーザを指導したり活動を支援したりします。
セキュリティ監査委員会
セキュリティポリシーが実際に遵守されているか,改善するべき事項はなにかを実態調査して,セキュリティ統括管理責任者に助言・報告する組織です。第三者の情報セキュリティ監査組織によるのが理想的ですが,内部の監査グループが行うこともあります。いずれにせよ,セキュリティ管理部門の協力が必要になります。

基本方針の策定

本来,セキュリティポリシーは,その組織の特性(主要目的や組織の成熟度など)に合致した独自のものであるべきですが,白紙の状態から考えるよりもひな型を参考にするほうが,落とした個所も防げるし作業も容易になります。
 民間企業での,ポリシー策定時の参考資料としては,下図のようなものがあります。このうち,ISO/IEC17799, JIS X 5080およびISMSは,BS7799をベースとしたものなので,実質的には同じものであると考えてもよいでしょう。

ポリシー策定参考資料

行政でのセキュリティ・ポリシー作成参考資料としては,次のものがあります。

★内閣官房情報セキュリティ対策推進室「情報セキュリティポリシーに関するガイドライン」(平成12年7月18日)
中央官庁を対象にしています。
http://www.bits.go.jp/taisaku/pdfs/ISP_Guideline.pdf

★総務省「地方公共団体のためのコンピュータセキュリティに関する調査研究報告書(平成12年3月) 地方公共団体のためのセキュリティ対策基準のあり方として,情報セキュリティ対策に関する解説とセキュリティポリシー策定の方法を提案しています。
http://www.soumu.go.jp/kokusai/pdf/security.pdf

★JNSA(日本ネットワークセキュリティ協会)「セキュリティポリシー・サンプル(0.92a版)」
民間企業を対象にしたものですが,具体的なサンプルを掲げています。
http://www.jnsa.org/
基本方針のコピーはこちらにあります。

先行自治体の実例を参照するのもよいでしょう。以下のものは,たまたま私が見つけた県と市のサイトであり,必ずしもベストプラクティスとして掲げたものではありません。

★福島県情報セキュリティポリシー
http://www.pref.fukushima.jp/dentou/suishinhonbu/13_3rd/pdf/securitypolicy.pdf

★仙台市行政情報セキュリティポリシー
http://www.city.sendai.jp/kikaku/sys-suishin/policy/index.html
抜粋コピーはこちらにあります。

リスク分析の手順

対策基準を策定するには,リスク分析をすることが必要です。

リスク分析の手順
情報資産の調査
まず,何を守るのかを明確にする必要があります。情報資産として,情報システムに関連するものだけに絞るか,文書や人などにまで広げるかという対象の範囲もありますし,全庁を対象にするか,本庁だけを対象にするかという部門の範囲もあります。
 当然ながらなるべく広い範囲にするのが理想的ですが,当初は比較的狭い範囲で実績を出し,逐次拡大するほうが現実的です。その場合でも,部分最適化にならないように,全体を把握したうえで,どこに絞るかを考えるべきです。
脅威の調査,リスクの大きさの評価
「何から守るのか」です。多様な脅威についてリスクの大きさを評価し,対策の優先順位を冠あえます。
重要性の分類,セキュリティ要求水準の設定
情報セキュリティの概要」で示した「受容レベル」の設定です。『地方公共団体における情報セキュリティ対策に関する調査研究報告書』では,次のような優先順位を示しています。
国民・住民に関わる情報資源及び利便性
LGWANコミュニティ(参加団体総体)のセキュリティ
個別の団体の都合及び利便性
   セキュリティ管理者
   業務処理システム担当者
LGWAN運営主体の都合及び利便性
個別の業務処理システム(事業者)の都合及び利便性

対策基準の策定

リスク分析により,「何を」「何から」「どのレベルで」守るのかが明確になると,「どのように」守るのかを具体的に策定することになります。それが対策基準です。
 下図は,民間企業で作成している対策基準です。「ウィルス対策基準」や「機密情報の取り扱い基準」などは多く作成されていますが,「教育」や「監視」「報告」など体制に関する分野が遅れています。未だ情報セキュリティに関する成熟度が低い段階にあるといえましょう。

対策基準の策定

セキュリティ・ポリシーの運営

ポリシーのPDCA

セキュリティポリシーは実行されて,はじめて実効があります。また,継続的な活動として発展させることが重要です。それには「策定−導入−運用−評価・見直し」のPDCA(Plan-Do-Check-Action)サイクルをまわすことが必要です。
 トップの関心が弱いと,当初はそれなりに意気込んで策定はするのですが,それが全員に周知されず実行されない。それなりに実行はしているらしいのだが,定期的なチェックをしていないので,「桶」の一部分が崩れているかもしれないし,継続的な改善へとつながらないというような状況になりがちです。

ポリシーのPDCA

実施状況

ここでは,民間企業の大企業と中小企業,地方公共団体での府県と市町村における情報セキュリティ対策の実施状況を比較して,地方公共団体の状況を評価します。一般的に府県ではまずまずの状況になっていますが,市町村では,ポリシー以前のセキュリティ対策が不十分です。

ウィルス対策
最も基本的で簡単なセキュリティ対策はウィルス対策です。民間大企業や府県では,ほぼすべてが対策をしていますが,市町村ではまだ実施されないところもあります。これすら実施されていないようでは,他の対策は推して知るべしであり,驚くべきことです。
ウィルス対策
外部アクセス対策
民間大企業と地方公共団体を比較すると,全体的にハード設備はあまり差異はありません。ファイアウォールもかなり設置されています。しかし,外部からの攻撃を発見,分析するためのログの監視・取得では大きな違いがあります。見てくれだけの対策で実際の取り組みが不十分でなければよいのですが。
外部アクセス対策
物理的セキュリティ対策実施状況
府県と市町村の比較では,両者の差が非常に大きいことがわかります。規模が大きく影響しているのは当然ですが,「処理施設の物理的セキュリティの境界」や「処理施設の入退室管理」など,たいした費用もかからないことも不十分であるのは,無責任であるとすらいえます。
物理的セキュリティ対策
セキュリティ監査の実施
セキュリティ対策が適切に行われているはどうかを客観的に監査して改善を図ることが重要ですが,全体的に未だあまり普及していません。民間企業と比較すると,府県は大企業,市町村は中小企業とほぼ同じ程度です。しかし,地方公共団体のほうが説明責任を強く求められることを考えれば,これではかなり不十分だといえます。
セキュリティ監査

3 セキュリティに関する各種基準

情報セキュリティに関しては,以前からシステム監査基準やウィルス対策基準など多くの基準やガイドラインが公表されてきました。それらについて簡単な説明をします。そして,最近話題になっているISMS適合性評価制度と情報セキュリティ監査制度について,やや詳しく説明します。

主要な基準・ガイドライン

★「高度情報通信ネットワーク社会形成基本法(IT基本法)」(平成12年11月)
http://www.kantei.go.jp/jp/it/kihonhou/honbun.html

★IPA「OECDセキュリティガイドライン(改訂)」(平成14年)
http://www.ipa.go.jp/security/fy13/report/oecd-guideline/oecd-guideline.pdf

★経済産業省「情報システム安全対策基準」(平成7年8月)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf

★警察庁「情報システム安全対策指針」(平成9年9月告示,平成11年改正)
http://www.npa.go.jp/hightech/antai_sisin/kokuji.htm

★経済産業省「コンピュータウイルス対策基準」(平成7年7月)
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

★「不正アクセス行為の禁止等に関する法律」(平成11年8月公布)
http://www.ipa.go.jp/security/ciadr/law199908.html

★経済産業省「コンピュータ不正アクセス対策基準」(平成8年告示,平成12年改訂) 
http://www.ipa.go.jp/security/ciadr/guide-crack.html

上のうち,主なものの「主旨」とそこでの定義を掲げます。

情報システム安全対策基準
「本基準は、情報システムの機密性、保全性及び可用性を確保することを目的として、自然災害、機器の障害、故意・過失等のリスクを未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したものである。」
情報システム安全対策指針
「本指針は、情報システムの関係者に対し、情報システムに係る犯罪、不正行為、個人情報の漏えい、災害等による被害を未然に防止し、又は最小限に抑えるために講ずべき対策及び犯罪発生時における警察との連携を確保するための措置を示すことにより、国民生活の安全を確保し、情報社会における秩序を維持することを目的とする。」
情報システム・・・・・コンピュータ・システムを中心とする情報処理及び通信に係るシステム(人的組織を含む。)をいう。
コンピュータウイルス対策基準
「本基準は、コンピュータウイルスに対する予防、発見、駆除、復旧等について実効性の高い対策をとりまとめたものである。」
ウィルス・・・・・第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能,潜伏機能,発病機能のうち一つ以上有するもの。
コンピュータ不正アクセス対策基準
「本基準は、コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたものである。」
不正アクセス・・・・・システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと。
コンピュータ・・・・・ネットワークに接続され得るコンピュータであり、ルータ、交換機等の通信用コンピュータ及びその他専用コンピュータを含むもの。
不正アクセス行為の禁止等に関する法律
「この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。」
(権限のないコンピューターネットワークへの単純なアクセス行為そのものを処罰の対象として明確に位置付けたことが特徴。アクセスしたコンピューターネットワーク上の情報が重要な情報であるかどうかは問われない。さらにIDやパスワード、指紋,や音声などのネットワークへのアクセスを制御する「識別機能」を無断で提供する行為についても禁止される。)

行政の情報セキュリティ基準(再録)

★総務省「情報セキュリティポリシーに関するガイドライン」(平成12年7月18日)
中央官庁を対象にしたもの。
http://www.bits.go.jp/taisaku/pdfs/ISP_Guideline.pdf

★総務省「地方公共団体のためのコンピュータセキュリティに関する調査研究報告書」(平成12年)
 地方公共団体におけるセキュリティ対策の動向,対策基準のあるべき姿,その具体案などを示し,
 対策リストを掲げている。
http://www.soumu.go.jp/kokusai/pdf/security.pdf

★総務省「地方公共団体における情報セキュリティ対策に関する調査研究報告書」(平成14年)
 セキュリティとは何か,地方公共団体におけるセキュリティポリシーの必要性などの解説
 各分野での脅威と対策についての解説
 セルフチェックをするためのチェックリストを掲げている。
http://www.soumu.go.jp/kokusai/sisaku020401.html

地方公共団体セキュリティチェックリスト

地方公共団体LANとLGLAN,地方公共団体LANとインターネット(インターネット→地方公共団体→LGWAN→他の地方公共団体)を対象として,不正アクセスやスパムメールの中継点,コンピュータウイルス感染の拠点になる脅威から守るためのセルフチェックリストです。
 その構成は次の通り(数字はチェック項目数)

1.ネットワークにおける脅威と対策 33
  ・アクセスコントロール   14
  ・機密性・完全性      14
  ・その他外部ネットワーク接続 5
2.運用管理            28
  ・ファシリティ管理      7
  ・ハード・ソフト管理    11
  ・ネットワーク       10
3.端末利用時のセキュリティ対策  29
  ・識別・認証        11
  ・インターネットの利用    8
  ・コンピュータウイルス対策 10
4.体制、方針、規程、教育等の整備 34
  ・セキュリティ管理体制    5
  ・方針、規程の整備      7
  ・セキュリティ教育      3
  ・危機管理          6
  ・セキュリティ監査      3
  ・外部委託          3
  ・情報資産の保護       7

そのチェック項目の一部(4.体制、方針、規程、教育等の整備 2.方針,規程の整備に関するチェック項目)を示します。

No.チェック項目YesNoN/A
1団体内のセキュリティ全般に関する方針(ポリシー)及び管理規程が文書化され,団体職員に周知されているか   
2運用規程,操作手順書の文書に,セキュリティに関する遵守事項が含まれているか   
3各担当部門は,必要に応じてセキュリティ方針(ポリシー)または管理規程を補足し,その詳細を定めているか   
4ユーザのルール違反,モラル違反等の問題が発生した場合の組織的な対応ルールが定められているか   
5一定のセキュリティコストを年間の予算として計上しているか   
6セキュリティ関連の最新情報について,IPA(情報処理推進機構)や,JPCERT/CC,又はメーリングリスト
その他の手段による情報収集を行っているか
   
7収集したセキュリティ関連技術について判断し,団体LANに適用するための手続きが定められているか   

情報セキュリティ対策の監査・認証制度

セキュリティポリシーで示した情報セキュリティ対策が適切に実行されているか,不十分な事項は何かなどをチェックすることは,継続的改善活動としてPDCAをまわすために必要です。しかもそれが確実に行われていることを,第三者の専門機関による認証を得ることができれば,内部での活動の励みになりますし,外部に対しては「公約」の実行が証明されます。
 情報システムの監査に関しては,以前から「システム監査基準」がありましたが,最近は,ISMS適合性評価制度と情報セキュリティ監査制度が話題になっています。

監査・認証に関する基準

★経済産業省「システム監査基準」(昭和60年1月告示,平成8年改正)
http://www.meti.go.jp/policy/netsecurity/systemauditG.htm
 
★JIPDEC「ISMS適合性評価制度」(Ver.1.0)(平成14年4月)
http://www.isms.jipdec.or.jp/doc/JIP-ISMS100-10.pdf

★JIPDEC「ISMS適合性評価制度」(Ver.2.0)(平成15年4月)
hhttp://www.isms.jipdec.or.jp/doc/JIP-ISMS100-20.pdf

★経済産業省「情報セキュリティ監査制度」(平成15年3月)
http://www.meti.go.jp/policy/netsecurity/information_audit.html
システム監査基準
「本基準は、情報システムの信頼性、安全性及び効率性の向上を図り、情報化社会の健全化に資するため、システム監査に当たって必要な事項を網羅的に示したものである。」
システム監査・・・・・監査対象から独立かつ客観的立場のシステム監査人が情報システムを総合的に点検及び評価し、組織体の長に助言及び勧告するとともにフォローアップする一連の活動
システム監査人・・・次の知識及び能力を有し、システム監査に従事する者

相互の関連

情報セキュリティ監査は,システム監査と似ていますが,システム監査が狭い意味での情報システムだけを対象にしているのに対して,情報セキュリティ監査制度では,人や組織,帳票類などコンピュータ以外も含む情報資源全般を対象としています。
 情報セキュリティ監査制度は,監査ですので,情報セキュリティ対策が適切に行われていることの保証と,不足している事項についての助言をするのが目的です。それに対してISMS適合性評価制度は,セキュリティポリシーが適切に実践されているかを審査するのが目的です。

情報セキュリティの分野もグローバル化が進んでおり,ISMS適合性評価制度と情報セキュリティ監査制度も,国際的に広く認められている英国規格BS7799をベースにして作られています。ですから,この2つは互いに関連しています。


BS7799 ISO17799 ISMS認証基準 JISQ15001 ISO15408
制定 英国国内規格 国際規格 日本国内規格 日本国内規格 国際規格
対象 ISMS一般 ISMS一般 ISMS一般 プライバシー(個人情報保護) システム製品
目的 Part1はガイドライン。
Part2は審査登録。
ガイドライン 審査登録 審査登録
(プライバシーマーク)
審査登録
認定 UKAS - 日本情報処理開発協会 日本情報処理開発協会 情報処理推進機構

まだ情報セキュリティのマネジメントが十分に根付いていない段階では,情報セキュリティ監査制度により専門家による実施状況のチェックや助言を得ることにより,より高度な段階に進むのが適切ですし,ある程度のレベルに達したら,ISMS認証制度により証明してもらうのがよいでしょう。比喩的にいえば,情報セキュリティ監査制度は模擬試験でそれにより弱点の発見と克服のためであり,ISMS適合性評価制度は本試験で資格を得るためであるといえます。

情報セキュリティ監査制度

情報セキュリティ監査制度では,監査の目的を保証型監査と助言型監査にわけています。

保証型監査
情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査
助言型監査
情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査

情報セキュリティ監査制度の体系(公表されている基準集)は次の通りです。

情報セキュリティ管理基準
「情報セキュリティ監査の目的は、情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証又は評価して、もって保証を与えあるいは助言を行うことにある。」
 管理基準は,何をどのように管理するかの規範仕様(ベストプラクティス)です。これは監査を受けるためだけではなく,対策基準や実施基準を策定し実施するときの参考にもなります(その内容の一部を後掲します)。それらの項目に関して個別管理基準の策定ガイドラインがあります。
情報セキュリティ監査基準
「情報セキュリティ管理基準は、組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範である。情報セキュリティマネジメントは、第一義的には、組織体における必要性と組織体の責任において果たされるべきものである。本管理基準は、情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目を規定することによって、組織体が情報セキュリティマネジメント体制の構築と、適切なコントロールの整備と運用を効果的に導入できるように支援することを目的とする。」
 すなわち,監査基準は監査をする側の規範です。実施と報告についてのガイドラインがあります。

また,管理基準と監査基準の典型例として,行政での基準モデルが提供されています。中央官庁を対象としていますが,地方公共団体でも参考になると思います。

管理基準の内容の一部を示します。すなわち,これらの項目をすべて完全に実施することを目標にして,当面はその重要度や団体の成熟度に合わせて取捨選択することになります。

2 組織のセキュリティ
2.1 情報セキュリティ基盤
  目的:組織内の情報セキュリティを管理するため

2.1.1 セキュリティを主導するための明瞭な方向付け及び経営者による目に見える形での支持を
   確実にするために、運営委員会を設置すること

2.1.2 運営委員会は、適切な責任分担及び十分な資源配分によって、セキュリティを促進すること
2.1.2.1 運営委員会は、適切な責任及び資源配分によって、組織内におけるセキュリティを促進すること
2.1.2.2 運営委員会は、情報セキュリティ基本方針並びに全体的な責任の見直し及び承認をすること
2.1.2.3 運営委員会は、情報資産が重大な脅威にさらされていることを示す変化を監視すること
2.1.2.4 運営委員会は、情報セキュリティの事件・事故の見直し及び監視をすること
2.1.2.5 運営委員会は、情報セキュリティを強化するための主要な発議の承認をすること
2.1.2.6 運営委員会は、一人の管理者が、すべてのセキュリティ関連活動に責任をもつこと

2.1.3 大きな組織では、情報セキュリティの管理策の実施を調整するために、組織の関連部門からの管理
    者の代表を集めた委員会を設置すること
2.1.3.1 管理者の代表を集めた委員会では、組織全体の情報セキュリティのそれぞれの役割及び責任への
     同意を得ること
2.1.3.2 管理者の代表を集めた委員会では、情報セキュリティのための個別の方法及び手順(例えば、リス
     クアセスメント、セキュリティの分類体系)への同意を得ること
2.1.3.3 管理者の代表を集めた委員会では、組織全体の情報セキュリティの発議(例えば、セキュリティの意
     識向上プログラム)への同意及び支持を得ること
2.1.3.4 管理者の代表を集めた委員会では、セキュリティを、情報化計画の作成過程の一部にすることを確
     実にすること
2.1.3.5 管理者の代表を集めた委員会では、新しいシステム又は新しいサービスのためのそれぞれの情報
     セキュリティの管理策の妥当性の評価及びその実施の調整をすること
2.1.3.6 管理者の代表を集めた委員会では、情報セキュリティの事件・事故の見直しをすること
2.1.3.7 管理者の代表を集めた委員会では、組織全体への情報セキュリティに対する目に見える形での業
     務上の支援の促進をすること

ISMS適合性評価制度

ISMS適合性評価制度は,平成14年からVer1の認証基準で開始されましたが,平成15年4月にVer2へ移行しました。

ISMS認定基準では,その目的を次のように示しています。
 「本基準は,経営陣および要員が,効果的なISMSを構築し,運営管理していくための モデルを提供することを目的とする。」
 「本基準は,組織の事業上のリスク全般に対して,文書化されたISMSの確立,導入, 監視,見直し,維持および改善に関する要求事項を規定するものである」
 「組織は,自らの事業の活動全般およびリスク全般を考慮して,文書化されたISMSを 構築,導入,維持し,かつこれを継続的に改善すること。本基準で使われるプロセスは PDCAモデルに基づいている」

認定基準の目次は次の通りです。

    第0 序文
    第1 適用範囲
    第2 引用規格等
    第3 用語及び定義
    第4 情報セキュリティマネジメントシステム
    第5 経営陣の責任
    第6 マネジメントレビュー
    第7 改善

    附属書「詳細管理策」

第4〜第7は,情報セキュリティ・マネジメントシステムを行うための基本事項です。附属書「詳細管理策」が認証審査での要求事項です。詳細管理策の目次と要求事項の一部を示します。

    目次
    1.はじめに
    2.実践規範への手引き
    3.情報セキュリティ基本方針
    4.組織のセキュリティ
    5.情報資産の分類及び管理
    6.人的セキュリティ
    7.物理的及び環境的セキュリティ
    8.通信及び運用管理
    9.アクセス制御
   10.システムの開発及び保守
   11.事業継続管理
   12.適合性

  「4.組織のセキュリティ」の一部
4(1) 情報セキュリティ基準
管理目的:組織内の情報セキュリティを管理するため。

4(1)@ 情報セキュリティ運営委員会
   情報セキュリティを主導するための明瞭な方向付け及び経営陣による目
   に見える形での支持を確実にするために,運営委員会を設置すること。
   運営委員会は,適切な責任分担及び十分な資源配分によって,セキュリ
   ティを促進すること。
4(1)A 情報セキュリティの調整
   大きな組織では,情報セキュリティの管理策を調整するために,組織
   の関連部門からの管理者の代表を集めた委員会を利用すること。
4(1)B 情報セキュリティ責任の割当て
   個々の資産の保護に対する責任及び特定のセキュリティ手続の実施に対
   する責任を,明確に定めること。
4(1)C 情報処理設備の認可手続
   新しい情報処理設備に対する経営陣による認可手続きを確立すること。
4(1)D 専門家による情報セキュリティの助言
   専門家による情報セキュリティの助言を内部又は外部の助言者から求め,
   組織全体を調整すること。
4(1)E 組織間の協力
   行政機関,規制機関,情報サービス提供者及び通信事業者との適切な関
   係を維持すること。
4(1)F 情報セキュリティの他者によるレビュー
   情報セキュリティ基本方針の実施を,他者がレビューすること。

この附属書「詳細管理策」と情報セキュリティ監査制度の「情報セキュリティ管理基準」を比較すると,詳細管理策の明細(すなわち要求事項)を実現するための手段が情報セキュリティ管理基準に列挙されていることがわかります。すなわち,情報セキュリティ管理基準を実施すると,ISMSの認定が得られるのです。

認証審査の方法

ISMS適合性評価制度の認証審査は次のような手順で行われます。

セキュリティポリシーの作成
被審査企業は,ISMS認定基準の詳細管理策(要求事項)のうち「どの範囲」を「どのような方法」で実現するかを,セキュリティポリシーとして文書化します。
書類審査
審査機関(ISMS審査員)は,それらの文書を審査します。その内容が被審査企業の環境において範囲が狭かったり対策のレベルが低いときには認めませんが,原則としては被審査企業が設定した範囲・レベルを前提として,それを実現するためのルールが明瞭に文書化されているかを審査します。
現地審査
審査員が被審査企業に出向き,現地の調査やヒアリングをします。それにより文書通りのことが実際に行われていれば審査合格になり,認証機関に報告して,認証機関から被審査企業に認証書が交付されます。

ここで注意すべきことは,審査員は被審査企業が設定した範囲・方法が実践されていることを評価基準との適合性により合否判定をするだけであり,被審査企業の情報セキュリティ・マネジメントのレベルが3とか5であるというようなレベルの評価をするのではないということです。
 被審査企業が比較的狭い範囲・低いレベルに設定すれば合格しやすくなります(極端な場合は書類審査で否定されるでしょうが)し,広範囲・高レベルを設定すれば,実践されていない事項が出やすいので,合格しにくくなります。ですから「当社はISMS認証を得たので,セキュリティ対策は万全である」とはいえないのです。

しかし,インターネットで個人情報や商取引を取扱っているサイトや情報関連企業では,これを取得することが受注に役立ちますので,この制度はまだ始まったばかりですが,既にかなりの企業が認証取得しており,多くの企業が認証取得をしたいと考えています。

ISMS取得状況

4 組織で取り組む情報セキュリティ対策

情報セキュリティ対策を円滑に推進するには,継続的な全社活動として運営することが必要です。「組織として取り組む」ことが重要なことを強調します。

情報セキュリティ対策は全社的活動である

セキュリティ管理委員会

全社的活動を円滑に推進するには,セキュリティ統括管理責任者である首長あるいはCIOを委員長として,局長クラスを委員とするステアリング・コミッティが積極的なリーダーシップを発揮して,明確な方針を示し,この実行状況を把握して,さらに改善をすることが大切です。
 ところがややもすると,次のような事態になりがちです。

ユーザ部門の問題

「桶の理論」のように,非常に高度なセキュリティ対策を行っても,1ヶ所に脆弱な部分があれば,脆弱性はそのレベルになってしまいます。しかも,「パソコンのあるところに脅威あり」ですので,エンドユーザ・コンピューティングが普及している環境では,脆弱性は庁内のあらゆるところに存在します。
 ところが,情報セキュリティ対策はパスワードの定期的な変更やソフトウェアのインストール禁止など,ユーザの利便性と対立することがよくあります。情報セキュリティの重要性が十分に認識されていないと,ユーザ部門での脆弱性を突かれて攻撃されます。ユーザに起因するいくつかの脆弱性を列挙します。

パソコンの紛失・廃棄
最近はモバイル・コンピューティングが普及してきました。ノートパソコンや携帯電話にパスワードや重要情報が入っていると,その紛失が大きな脅威になります。また,単にデータを削除しただけでは復元されてしまいますから,廃棄するときには,完全消去するとかディスクを物理的に破壊する必要があります。同様にフロッピーやCD-ROMの持ち出しや廃棄についても細心の注意が必要です。
私物パソコンの接続,バックドアの設定
パソコンの配布が不十分だと私物のパソコンを持ち込むことがあります。それをネットワークに接続することによりウィルスが伝染する危険があります。外部からの攻撃にはファイアウォールなどで防げますが,ネットワーク内部からの攻撃を防御するのは大変です。また,ユーザが勝手に外部インターネットとの接続環境を作ってしまうことがあります。それをバックドアといいますが,一般にセキュリティ対策が不十分なので,格好な攻撃目標になります。
ソーシャル・エンジニアリング
高度な情報技術を使わなくても,システム管理者を装ってパスワードを聞き出したり,ゴミ箱をあさって重要な情報を盗むことができます。このような手段をソーシャル・エンジニアリングといいます。
内部不正
最も対策が困難なのは,電子メールで機密情報を外部に漏洩したり,経理担当者が架空の伝票を起こすような,正規のユーザが正規の手順で不正を行う脅威です。

これに加えて,重要書類の机上放置や持ち出し,電車や飲み屋での放談など,セキュリティ対策は多様です。一部の人が努力すれば解決できるものではなく,全員が認識することが大切なのです。

情報システム部門の問題

情報セキュリティ対策で最も重要な部門は情報システム部門です。ところが,要員不足などの原因により十分な対策がとられていないことが多いのです。これでは「仏作って魂入れず」になってしまいます。

技術的セキュリティと運用
危機管理対策
地震や火事などの災害時にこそ,地方公共団体の情報システムが頼りになります。それなのに,府県ですら緊急時対応計画の作成やバックアップの実施率が低いのは問題です。遠隔地にバックアップマシンやデータ保管をする必要があります。遠隔地方公共団体間での利用協定やLGWANを活用したデータ転送などを考慮するべきです。
市町村での遅れ
市町村では「特定の処置は講じていない」が過半数になっています。「人がいない」「カネがない」も理由でしょうが,むしろ情報セキュリティ対策について真剣な検討をしていないようにも思われます。ファイアウォールは広く設置されている(「セキュリティポリシー」参照)のに,ネットワークの監視が行われていないのでは,ファイアウォールのセキュリティホールも多いのではないかと気になります。ネットワーク監視には高度な技術者をはりつける必要があり,市町村では困難だとも思われます。アウトソーシングを検討するべきでしょう。

情報セキュリティ対策は継続的改善活動である

成熟度

成熟度(Maturity Model)の概念は,米国官庁が情報システム開発を発注するときに,ベンダの品質管理能力を査定するための尺度として,カーネギーメロン大学が開発したCMMがポピュラーですが,その後,「ITガバナンスの成熟度」(COBIT)とか「経営の成熟度」(経営品質賞)などのように広く使われるようになってきました。
 それぞれの用途により若干の違いはありますが,ルールがどれだけ組織に浸透して実施されているかをレベル0からレベル5までの段階で評価するものです。

成熟度
  レベル0 存在しない(Non-Existent)
       組織は問題の重要性を認識していない。当然ルールもない。
  レベル1 初歩的(Initial)
       組織が問題を認識しているが、標準的なプロセスではなく、個人ごとあるいはケースに応じた
       場当たり的なアプローチである。マネジメント手法は組織化されていない。
  レベル2 繰り返し可能(Repeatable)
       同じ業務を行う人々が同じ手続きに従っている。しかし,標準プロセスに関する正式なトレー
       ニングは行われていない。個人の知識への依存度が高く,個人の責任になっている。
  レベル3 定義されている(Defined)
       手続きが標準化、文書化され、トレーニングを通じて伝達されている。しかし,プロセスの遵
       守は個人に委ねられており、違反は検知されにくい。
  レベル4 管理されている(Managed)
       手続きへの遵守状況を監視し、測定することができる。効果をあげていない部分に対して行動
       を起こすことができる。プロセスは定常的に改良され、適切な手法を提供している。
  レベル5 最適化(Optimised)
       継続した改良と成熟度のモデル化の結果、プロセスがベストプラクティスのレベルにまで改良
       されている。

市町村の情報セキュリティの成熟度は,レベル0からレベル1に差し掛かっている段階が多いようです。セキュリティポリシーの策定によりレベル3へ,情報セキュリティ監査の実施によりレベル4へと成熟度を向上させることが望まれます。
 当然ながら,セキュリティポリシーが策定されていればレベル3,情報セキュリティ監査を一度実施すればレベル4であるということではありません。各項目において成熟度にバラツキがあります。全組織が全項目を達成した段階で,その組織の成熟度がそのレベルに達したと評価するのです。

PDCAサイクル

情報セキュリティに関しては,先に示したように多くの基準やガイドラインがあります。それらはベストプラクティスだともいえます。レベル1の段階の組織が一挙にレベル5への飛躍ができれば理想的ですが,そうはいきません。あまりにも文化が違うので,非現実的な夢物語として受け取られ,本気に取り組もうとはしません。強制すれば,実際には全然やっていないのに,表面的には取り繕った報告をするという,最悪の副作用が出てしまいます。
 レベル3やレベル4を将来目標として掲げ,今年はレベル2を達成しようとか,まずウィルスと不正アクセスの脅威に対してレベル4を達成し,その次に重要データの管理をしようというようなステップ・バイ・ステップで着実に成熟度を向上させることが大切なのです。情報セキュリティ対策は長期的な「継続的改善活動」なのです。それには,経営者がしっかりとした信念を持つ必要があります。線香花火的な関心ではいけません。

このPDCAサイクルの考え方は,セキュリティポリシーでもISMS適合度認証制度でも取り入れられています。成熟度をPDCAサイクルに当てはめると,レベル3はP(計画)とD(実施)であり,レベル4はC(測定)とA(行動)であるといえます。すなわち,PDCAではCAの部分が重要なのです。


情報システム部門のアウトソーシング

インターネット環境での情報セキュリティ対策では,各種サーバやネットワークの監視が重要です。しかし,これを行うには,高度のセキュリティ技術者を365日24時間,監視業務につかせる必要があります。それは府県や民間大企業でも困難ですので,インターネットに直接接続するサーバ類を専門業者に預けて,その管理や監視業務をアウトソーシングする動向があります。
 それ以外の理由でも,情報システム部門をアウトソーシングするとか,ハードウェアを自社では持たずにASPを活用する傾向が強くなっています。

地方公共団体でのアウトソーシング活用動向

地方公共団体ではアウトソーシングは以前から行われていました。たとえば市民税の計算のような単純集計業務は,申告書類を整理したものを民間の計算センターに出して計算し帳票印刷をさせていました。各種のデータ入力業務も民間企業を利用していました。しかし,これらの業務はアウトソーシングというよりも,外注というほうが適切でしょう。
 地方公共団体では地域経済の低迷により,深刻な財政難になっています。それに対処するには抜本的なコストダウンが必要ですが,それには人員削減が最大の課題になります。反面,住民サービスの向上が強く求められています。それに応えるためには,地方公共団体の本来の任務であるサービス企画業務に集中する必要があります。それで情報処理のような地方公共団体でのコア・コンピタンスではない業務をアウトソーシングする動きが多くなってきました。

民間企業では1990年代にBPRが注目されましたが,地方公共団体でも業務の見直しをして,庁内内部で抱え込む必要がない業務を積極的に民間に委託し,しかも民間の活力やノウハウを活用するという戦略的アウトソーシングへと変化してきました。
 たとえば岐阜県では,情報システムの開発・運営を一括してアウトソーシングしただけでなく,情報産業振興政策の企画・立案までも提案させ,それと価格点を総合的に評価してアウトソーシング先を決めています。大阪府では,松下電産・富士通・NTT西日本からなるサービスセンターに7年間で23億円にもなる業務をアウトソーシングしました。そして,運営管理などの具体的な方法の詳細は民間企業や団体に任せるという「性能発注」を採用しています。
 実際に,アウトソーシングをした地方公共団体では,その効果として「専門ノウハウの活用」「人材不足への対応」「コスト削減」などがあげられています。

アウトソーシングでの課題

しかし,アウトソーシングするには多様な問題があります。上記の「アウトソーシングの効果」と同じアンケート調査では,下図のような問題点が指摘されています。

民間企業でも共通する問題が多いのですが,ここでは地方公共団体に特化して考えます。前述のように,地方公共団体は究極的には責任をとることができないので,事前・事後に説明責任が強く求められます。そのためには,第三者による評価システムを作ることが求められます。

トラブル時の対応・機密保持と業者選定基準・管理基準

行政の業務にトラブルが発生したら,住民の生活に大きな影響を与えます。特に大規模災害が発生したときにこそ,安定した稼動が期待されます。また,個人や企業の情報をはじめ多様な機密情報を取扱っていますので,民間企業とは格段の機密保持が要求されます。このような観点から,適切なアウトソーシング先を選定する基準や,安定かつ健全な運営のための管理基準が重要になります。
 これらがアンケートでも高い順位を占めているのは,関係者がこれらを真剣に重視している表れであり,適切なことであるといえます。でも逆にいえば,これらが未だ十分な対策がなされていないからだともいえます。総務省が情報システム調達先選定にCMMを用いるとの計画があり,その後,検討し直すことになっていますが,どうなるでしょうか。

予算確保と成果の評価方法

これらはアウトソーシングをする目的の明確化に関する事項です。一般にアウトソーシングをすることによりコストダウンが実現するといわれていますが,それには現在の費用の把握が前提になります。特に「見えない費用」を適切に把握することが求められます。

複数年度契約・契約先の変更・途中解約

地方公共団体の予算は単年度予算ですが,一般にアウトソーシングは長期間の契約になりますので,プロジェクト予算制度が必要になります。また,いったんアウトソーシングすると,契約途中だけでなく契約期間が終了したときに他の業者に変更するのがかなり困難です。地方公共団体でのアウトソーシングでは,経験のある業者を探すことが困難なので,同じ業者に継続的に契約することになりそうです。官民の癒着や天下りなどが発生しやすくなります。アウトソーシング先を変更するときに新業者へ支援する契約を結ぶとか,天下り禁止の内規を作る必要があります。

住民の同意

「住民の同意」が問題であるという回答が非常に少ないことが気になります。アウトソーシングの目的には住民も賛成であると思います。でも住基ネットワークではあれだけの反対があったのです。それよりももっと多様な情報が民間企業で取扱われるのですから,当然何らかの反対意見が出るはずです。アウトソーシングに伴う副作用もあることを説明した上で,住民の意見を聞いたのでしょうか? 「住民には黙ってアウトソーシング計画を検討しているが,強い反対意見は出ていない」ということだとなると由々しき問題です。「同意」関連の項目で,職員>議会>住民の順になっているのは,副作用を知らせていない順でではないでしょうか?
 下図は,地方公共団体と民間が「電子自治体推進にあたっての最重要課題」と思う項目です。両者には大きなずれがあります。住民はその「結果」に関心があるのに,地方公共団体では行政内部の形式に関心を持っています。住民よりも中央官庁を見ているような気がします。

現実に地方公共団体職員へのアンケート調査でも,電子化による効果は,将来的には期待が高いものの,現状ではまだまだのような状態です。住民に調査をすれば,これよりももっと低い数字になるのではないでしょうか。

共同アウトソーシング

地方公共団体の業務は,少なくとも基本的な事務処理分野では,共通した業務を共通して手続きで行っていることが特徴です。民間企業では,業務内容はかなり異なるのに,ERPパッケージの利用が普及しています。行政用ERPパッケージを開発して,すべての地方公共団体が利用すれば,情報システム開発費用は極度に低減できるはずです。
 同じシステムを利用するのであれば,別々にコンピュータを導入する必要はなく,共同して用いたほうが安上がりになります。そしてそのコンピュータのハードウェアも含む運営全体をアウトソーシング(この形態をASPとかiDCといいます)すれば,さらに費用を低減できます。

このような発想から,「共同アウトソーシング」が注目されており,総務省は平成15年度予算に28億円を要求しています。その要求主旨は「申請届出等行政手続のオンライン化をはじめとする電子自治体の実現のため,複数の地方自治体の業務を標準化し,民間企業のノウハウ・システムを有効活用することにより,住民サービスの向上と地方自治体の業務改革とIT関連地場産業振興等による地域経済の活性化を図る,「共同アウトソーシング」もモデルシステムを開発し,実証実験・検証を実施するとともに,電子自治体情報セキュリティ基準の策定など,電子自治体の情報セキュリティを確保する・・・」となっています。

このようなことは,地方公共団体にコンピュータが導入されるようになった時点で当然行うべきことであり,いまさらの感じもしますが,電子自治体や市町村合併には必要なことですので,早急な実現が期待されます。なにも「地域で複数」などといわずに,全地方公共団体を一つのシステムにして,その運営を細切れにして個別の業者に発注すればよい。しかも,入札価格,契約条件,運用成績などを一覧性のあるデータベースにして,国民全体に公開すればよいと思います。
 これまで地方公共団体はサービス業なのに独占企業でした。競争がないと発展はないし,評価もできません。不十分です。わが県や市の個々の共通業務でのサービスレベルは,全地方公共団体で何位であり,どのような独自のサービスを提供しており住民の評価はどうかなどを公表して,互いに競争する環境を作り出すように発展することを期待します。

情報ガバナンスとCIO

アウトソーシングやASPの利用の目的では,民間企業と地方公共団体ではやや違いがあるようです。よく「先進民間企業のノウハウを・・・」という話がありますが,目的をよく考えないと不適切な状況になる危険もあります。

その一例として,民間企業ではアウトソーシング先を外注業者としてではなく,対等なビジネスパートナーとして認識することが重要だといわれます。単に発注側のニーズを押し付けるのではなく,受注側の専門的な提案を期待する。それにはある程度のコスト増があってもよいし,ある分野ではブラックボックスの丸投げでもかまわないという方針になります。
 しかし,行政の場合はそれが通用するでしょうか? 前述のように,アウトソーシング先を決定するのに提案も考慮したり,「性能発注」をしたりしている先進的な地方公共団体もあります。でもそれは,地方公共団体側にそれを適切に評価できる能力があることが前提になります。さもないと,アウトソーシング先の提案を鵜呑みにするような事態になります。それでは,住民サービス企画という地方公共団体のコア・コンピタンスを一民間企業に任せたことになり,ガバナンスを失うことになります。
 住民の生活がかかっているのですから,ノウハウや提案をする以前に,発注元の指示に忠実であることが求められます。対等なパートナーではなく,指揮命令と遵守保証が明確になっていなければ,住民の信任は得られません。たとえばアウトソーシング先の従業員は故意あるいは過失による個人情報漏洩について,どのような刑事責任が問われるのでしょうか? 地方公共団体の監督責任はどのように規定されているのでしょうか? これが現在よりも厳しくなるのでないと,住民はアウトソーシングそのものを支持しないでしょう。

その監督責任を持つ職制として,CIOがあります。ところが,府県レベルですら民間大企業に比べてCIOがいる県は少ないし,その地位も低いようです。これで適切なITガバナンスがとれるのでしょうか? まして「特定の体制はとらない」のでは困るのです。