2003年6月4日(水)に,財団法人大阪府市町村振興協会おおさか市町村職員研修研究センター(マッセ大阪)殿の「IT社会における地方行政の役割(連続講座)第1回」にて「組織で取り組む情報管理〜情報セキュリティ対策を中心として〜」というテーマで講演させていただいた内容です。同センターのご好意により公表させていただきました。なお,講演の要旨は,同センターの『連続講座 IT社会における地方行政の役割 講演録』(平成16年2月)およびWebサイト( http://www.masse.or.jp/gaiyo/jigyo/kenkyus/h15semina_all.htm)にあります。
行政,地方公共団体,セキュリティ,セキュリティポリシー,情報セキュリティ監査制度,ISMS認証制度,PDCAサイクル
いただいたテーマは「組織で取り組む情報管理」ですが,あまりにも対象が大きいので,「情報セキュリティ対策は組織として取り組むことが必要だ」という内容にさせていただきます。
電子自治体といわれるように,地方公共団体の情報化は急速に進んでいます。それに伴い,情報セキュリティ対策が大きな課題になっています。県のCIOはセキュリティに高い関心を持っているとの調査もあります。
なお,地方公共団体にとって個人情報保護は情報セキュリティでの最大の対象ですが,あまりにも問題が多岐にわたります。話が発散してしまうのを避けるために,ここでは割愛させていただきます。
いまさら,情報セキュリティとは何か,なぜ地方公共団体で情報セキュリティ対策が重要なのかなどについてお話しする必要はないと存じますが,話の順序ですので,トピックス的に述べることにします。
情報セキュリティとは,情報システムの脆弱性を減少させることにあります。情報資源への脅威は多様であり,情報システムの脆弱性が最も脆弱な個所で決定されます。そのために,情報セキュリティ対策は,全社的なマネジメントとして運営する必要があります。
情報セキュリティとは,情報システムのハードウェアやデータなどの情報資産を災害や不正行為などの脅威から守ることです。その守る内容について,国際規格(ISO 7498-2:1989)では,機密性,完全性,可用性の3つをあげています(この英語の頭文字から「CIA」と覚えるとよいでしょう)。
その後,新しい状況に対処するするために,ISOはGMITS(ISO/IEC JTC 1/SC 27)において,次の3項目が追加されて6項目になりました。
Authenticity(真正性)情報の身元保証
Accountability(責任追跡性)行為形跡の保証
Reliability(信頼性)意図と結果の整合性
モノへの脅威と比較して,情報資産への脅威には多様です。
自然災害・事故(地震,火事,水害,機器の転倒など) 機器の故障・誤動作(ハードウェアだけでなくソフトウェアもある) インターネット利用 ウイルス感染 不正アクセス 秘密漏洩 他サイトへの踏み台 内部者・関係者 意図的な行為 人為的ミス
このうち,インターネットでの「社会的責任」と,内部不正に関する「性弱説」について,少し説明します。
上記のような脅威がインシデントとして発生したとき,情報システムでは次のような特徴があります。犯罪を例にして説明します。
ここで重要なのは,このような脅威から保護する手段が通常の感覚と異なるので,頭では理解しても日常行動ではとかくおろそかになりがちだということです。自宅を留守にするときは鍵をかけるでしょうし,会社で高額小切手を机上に放置したまま帰宅する人はいません。ところが,自分のパスワードを秘密にしたり,機密データをアクセスできないようにしたり暗号化したりすることを,無意識でも行うようにはなっていません。そのために,通常以上にルールを作り守らせることが必要になるのです。
脅威そのものをなくすことは困難です。しかし,その脅威が実際の事件や事故(インシデントという)になるのを防ぐことはできます。それには,情報システムの脆弱性を減少させればよいのです。すなわち,情報セキュリティ対策とは,情報システムの脆弱性を減少させる手段を講じることなのです。 p>
当然,脆弱性を皆無にすることはできません。脅威全体を固有リスクといいます。そのなかには,ウィルスの脅威のように日常的に発生するリスクもあれば,大地震のように発生する確率が小さいものもあります。また,インシデントになったとき,人命や財産に関するような大被害からインターネットの私用のような小さい被害まで多様です。
リスクの大きさは「発生確率×被害の大きさ」で表されます。ほとんど発生しないリスクや発生しても被害が小さいリスクは「仕方がない。これが発生したときは,企業(経営者)の責任でカバーする」とするほうが適切でしょう。それを受容リスクといいます。情報セキュリティ対策とは,情報システムの脆弱性を減少させて,固有リスクを受容リスクの限度内にすることだといい直せます。
その受容リスクの大きさは,民間企業であればリスクの大きさとセキュリティ対策費用とのバランスで決定します。
しかし行政では,このようなバランス論が住民に受け入れられるかどうか疑問が残ります。行政の費用は税金ですから,バランス論が重要なのは当然ですが,住民は行政には民間企業よりも格段の信用を期待しています。住基ネットワークは通常の情報システムよりもセキュリティ対策がとられていますが,それでも不十分であるとの意見も多くあります。
また,受容リスクには「あまりにも被害が大規模なので対策の方法がない。それが起こったら倒産して解散すればよい」と腹をくくるものもあります。例えば通常の民間企業で未曾有の地震や戦争・テロに万全な対策をとることは不可能でしょう。その対策費用のために倒産してしまうかもしれません。
ところが行政では,そのようなときにこそ行政の情報システムが円滑に稼動すること,すなわち危機管理が要求されます。
そもそも行政は「責任を取る手段がない」のです。首長が自責引退しても解決になりませんし,倒産状況になっても結局は住民の増税あるいはサービス低下になるだけです。この「無責任性」が行政の情報セキュリティ対策の特徴であり,「説明責任=住民の合意」が重要になるのです。
脆弱性は最も弱い個所で決定されるとう「桶の理論」を理解することが必要です。どんなに優れた対策をとったとしても,1ヶ所でも不十分な部分があれば,それが脅威をインシデントになってしまうのです。
そのためには,情報セキュリティ対策は,一部のスタッフの問題ではなく,総合的な観点から対処することが求められます。マネジメントとして管理運営するには「組織として取り組む」ことが大切なのです。
とかく情報セキュリティ対策では物理的あるいは技術的な対策が対象になりますが,それ以外にも多くの対策があります。これらを適切に組み合わせることにより,受容リスク内に縮小することが必要です。
情報セキュリティ対策を全社的なマネジメントとして運営するには,その方針を明確にして周知させ実践することが重要です。セキュリティポリシー策定のポイントを取り上げます。また,情報セキュリティ対策は,継続的に向上する全社的運動であることを確認します。
セキュリティ対策を全社的運動としてマネジメントするには,セキュリティ対策の重要性と方針を社内外に明示して実践の組織化をする必要があります。社外へも公表することにより,社会的圧力により活動を継続する効果があります。特に行政では,説明責任が重要ですので,この公開を「公約」として実現責任を自ら課すことが求められます。
ポリシー策定は急速に増加しています。特に府県では,平成14年4月に約半数の府県が策定しており,民間大企業とほぼ同じ程度になっています。市町村では20%程度で民間中小企業と同じレベルですが,地方公共団体であるからにはこれでは困ります。しかし現在,電子自治体の動きが急速ですので,急速な増加が期待できます。
セキュリティ・ポリシーを策定していない理由は,民間中小企業では「策定するための知識・ノウハウがない」ことが最大理由です。行政での統計ではないですが,おそらく市町村でもほぼ同じような事情でしょう。しかし,中小企業では「必要性を感じない」「問題が生じる心配がない」が高いのですが,これは中小企業でも不適切ですし,市町村がこのような認識ではいけません。
情報セキュリティ対策に関する文書類は,一般には基本方針,対策基準,実施基準の3種類の文書になります。セキュリティポリシーというとき,このすべてを指すときと基本方針だけをいう場合がありますが,中央官庁を対象にした「情報セキュリティポリシーに関するガイドライン」(平成12年7月)では,基本方針と対策基準をセキュリティポリシーといっています。また,地方公共団体では,基本方針も政府の方針に合致することが求められます。
総務省『地方公共団体における情報セキュリティ対策に関する調査研究報告書』(平成14年2月)では,次のような説明をしています(「 」の部分)。
セキュリティポリシーは,次の順序で策定します。
組織・体制の確立 → 基本方針の策定 → リスク分析 → 対策基準の策定 → ポリシーの決定 → 実施手順の策定
セキュリティポリシー策定だけでなく,情報セキュリティ対策に関連する組織は下図のようになります。
本来,セキュリティポリシーは,その組織の特性(主要目的や組織の成熟度など)に合致した独自のものであるべきですが,白紙の状態から考えるよりもひな型を参考にするほうが,落とした個所も防げるし作業も容易になります。
民間企業での,ポリシー策定時の参考資料としては,下図のようなものがあります。このうち,ISO/IEC17799, JIS X 5080およびISMSは,BS7799をベースとしたものなので,実質的には同じものであると考えてもよいでしょう。
行政でのセキュリティ・ポリシー作成参考資料としては,次のものがあります。
★内閣官房情報セキュリティ対策推進室「情報セキュリティポリシーに関するガイドライン」(平成12年7月18日)
中央官庁を対象にしています。
http://www.bits.go.jp/taisaku/pdfs/ISP_Guideline.pdf
★総務省「地方公共団体のためのコンピュータセキュリティに関する調査研究報告書(平成12年3月)
地方公共団体のためのセキュリティ対策基準のあり方として,情報セキュリティ対策に関する解説とセキュリティポリシー策定の方法を提案しています。
http://www.soumu.go.jp/kokusai/pdf/security.pdf
★JNSA(日本ネットワークセキュリティ協会)「セキュリティポリシー・サンプル(0.92a版)」
民間企業を対象にしたものですが,具体的なサンプルを掲げています。
http://www.jnsa.org/
基本方針のコピーはこちらにあります。
先行自治体の実例を参照するのもよいでしょう。以下のものは,たまたま私が見つけた県と市のサイトであり,必ずしもベストプラクティスとして掲げたものではありません。
★福島県情報セキュリティポリシー
http://www.pref.fukushima.jp/dentou/suishinhonbu/13_3rd/pdf/securitypolicy.pdf
★仙台市行政情報セキュリティポリシー
http://www.city.sendai.jp/kikaku/sys-suishin/policy/index.html
抜粋コピーはこちらにあります。
対策基準を策定するには,リスク分析をすることが必要です。
国民・住民に関わる情報資源及び利便性 LGWANコミュニティ(参加団体総体)のセキュリティ 個別の団体の都合及び利便性 セキュリティ管理者 業務処理システム担当者 LGWAN運営主体の都合及び利便性 個別の業務処理システム(事業者)の都合及び利便性
リスク分析により,「何を」「何から」「どのレベルで」守るのかが明確になると,「どのように」守るのかを具体的に策定することになります。それが対策基準です。
下図は,民間企業で作成している対策基準です。「ウィルス対策基準」や「機密情報の取り扱い基準」などは多く作成されていますが,「教育」や「監視」「報告」など体制に関する分野が遅れています。未だ情報セキュリティに関する成熟度が低い段階にあるといえましょう。
セキュリティポリシーは実行されて,はじめて実効があります。また,継続的な活動として発展させることが重要です。それには「策定−導入−運用−評価・見直し」のPDCA(Plan-Do-Check-Action)サイクルをまわすことが必要です。
トップの関心が弱いと,当初はそれなりに意気込んで策定はするのですが,それが全員に周知されず実行されない。それなりに実行はしているらしいのだが,定期的なチェックをしていないので,「桶」の一部分が崩れているかもしれないし,継続的な改善へとつながらないというような状況になりがちです。
ここでは,民間企業の大企業と中小企業,地方公共団体での府県と市町村における情報セキュリティ対策の実施状況を比較して,地方公共団体の状況を評価します。一般的に府県ではまずまずの状況になっていますが,市町村では,ポリシー以前のセキュリティ対策が不十分です。
情報セキュリティに関しては,以前からシステム監査基準やウィルス対策基準など多くの基準やガイドラインが公表されてきました。それらについて簡単な説明をします。そして,最近話題になっているISMS適合性評価制度と情報セキュリティ監査制度について,やや詳しく説明します。
★「高度情報通信ネットワーク社会形成基本法(IT基本法)」(平成12年11月) http://www.kantei.go.jp/jp/it/kihonhou/honbun.html ★IPA「OECDセキュリティガイドライン(改訂)」(平成14年) http://www.ipa.go.jp/security/fy13/report/oecd-guideline/oecd-guideline.pdf ★経済産業省「情報システム安全対策基準」(平成7年8月) http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf ★警察庁「情報システム安全対策指針」(平成9年9月告示,平成11年改正) http://www.npa.go.jp/hightech/antai_sisin/kokuji.htm ★経済産業省「コンピュータウイルス対策基準」(平成7年7月) http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm ★「不正アクセス行為の禁止等に関する法律」(平成11年8月公布) http://www.ipa.go.jp/security/ciadr/law199908.html ★経済産業省「コンピュータ不正アクセス対策基準」(平成8年告示,平成12年改訂) http://www.ipa.go.jp/security/ciadr/guide-crack.html
上のうち,主なものの「主旨」とそこでの定義を掲げます。
★総務省「情報セキュリティポリシーに関するガイドライン」(平成12年7月18日) 中央官庁を対象にしたもの。 http://www.bits.go.jp/taisaku/pdfs/ISP_Guideline.pdf ★総務省「地方公共団体のためのコンピュータセキュリティに関する調査研究報告書」(平成12年) 地方公共団体におけるセキュリティ対策の動向,対策基準のあるべき姿,その具体案などを示し, 対策リストを掲げている。 http://www.soumu.go.jp/kokusai/pdf/security.pdf ★総務省「地方公共団体における情報セキュリティ対策に関する調査研究報告書」(平成14年) セキュリティとは何か,地方公共団体におけるセキュリティポリシーの必要性などの解説 各分野での脅威と対策についての解説 セルフチェックをするためのチェックリストを掲げている。 http://www.soumu.go.jp/kokusai/sisaku020401.html
地方公共団体LANとLGLAN,地方公共団体LANとインターネット(インターネット→地方公共団体→LGWAN→他の地方公共団体)を対象として,不正アクセスやスパムメールの中継点,コンピュータウイルス感染の拠点になる脅威から守るためのセルフチェックリストです。
その構成は次の通り(数字はチェック項目数)
1.ネットワークにおける脅威と対策 33 ・アクセスコントロール 14 ・機密性・完全性 14 ・その他外部ネットワーク接続 5 2.運用管理 28 ・ファシリティ管理 7 ・ハード・ソフト管理 11 ・ネットワーク 10 3.端末利用時のセキュリティ対策 29 ・識別・認証 11 ・インターネットの利用 8 ・コンピュータウイルス対策 10 4.体制、方針、規程、教育等の整備 34 ・セキュリティ管理体制 5 ・方針、規程の整備 7 ・セキュリティ教育 3 ・危機管理 6 ・セキュリティ監査 3 ・外部委託 3 ・情報資産の保護 7
そのチェック項目の一部(4.体制、方針、規程、教育等の整備 2.方針,規程の整備に関するチェック項目)を示します。
No. | チェック項目 | Yes | No | N/A |
---|---|---|---|---|
1 | 団体内のセキュリティ全般に関する方針(ポリシー)及び管理規程が文書化され,団体職員に周知されているか | |||
2 | 運用規程,操作手順書の文書に,セキュリティに関する遵守事項が含まれているか | |||
3 | 各担当部門は,必要に応じてセキュリティ方針(ポリシー)または管理規程を補足し,その詳細を定めているか | |||
4 | ユーザのルール違反,モラル違反等の問題が発生した場合の組織的な対応ルールが定められているか | |||
5 | 一定のセキュリティコストを年間の予算として計上しているか | |||
6 | セキュリティ関連の最新情報について,IPA(情報処理推進機構)や,JPCERT/CC,又はメーリングリスト その他の手段による情報収集を行っているか | |||
7 | 収集したセキュリティ関連技術について判断し,団体LANに適用するための手続きが定められているか |
セキュリティポリシーで示した情報セキュリティ対策が適切に実行されているか,不十分な事項は何かなどをチェックすることは,継続的改善活動としてPDCAをまわすために必要です。しかもそれが確実に行われていることを,第三者の専門機関による認証を得ることができれば,内部での活動の励みになりますし,外部に対しては「公約」の実行が証明されます。
情報システムの監査に関しては,以前から「システム監査基準」がありましたが,最近は,ISMS適合性評価制度と情報セキュリティ監査制度が話題になっています。
★経済産業省「システム監査基準」(昭和60年1月告示,平成8年改正) http://www.meti.go.jp/policy/netsecurity/systemauditG.htm ★JIPDEC「ISMS適合性評価制度」(Ver.1.0)(平成14年4月) http://www.isms.jipdec.or.jp/doc/JIP-ISMS100-10.pdf ★JIPDEC「ISMS適合性評価制度」(Ver.2.0)(平成15年4月) hhttp://www.isms.jipdec.or.jp/doc/JIP-ISMS100-20.pdf ★経済産業省「情報セキュリティ監査制度」(平成15年3月) http://www.meti.go.jp/policy/netsecurity/information_audit.html
情報セキュリティ監査は,システム監査と似ていますが,システム監査が狭い意味での情報システムだけを対象にしているのに対して,情報セキュリティ監査制度では,人や組織,帳票類などコンピュータ以外も含む情報資源全般を対象としています。
情報セキュリティ監査制度は,監査ですので,情報セキュリティ対策が適切に行われていることの保証と,不足している事項についての助言をするのが目的です。それに対してISMS適合性評価制度は,セキュリティポリシーが適切に実践されているかを審査するのが目的です。
情報セキュリティの分野もグローバル化が進んでおり,ISMS適合性評価制度と情報セキュリティ監査制度も,国際的に広く認められている英国規格BS7799をベースにして作られています。ですから,この2つは互いに関連しています。
BS7799 | ISO17799 | ISMS認証基準 | JISQ15001 | ISO15408 | |
制定 | 英国国内規格 | 国際規格 | 日本国内規格 | 日本国内規格 | 国際規格 |
対象 | ISMS一般 | ISMS一般 | ISMS一般 | プライバシー(個人情報保護) | システム製品 |
目的 | Part1はガイドライン。 Part2は審査登録。 |
ガイドライン | 審査登録 | 審査登録 (プライバシーマーク) |
審査登録 |
認定 | UKAS | - | 日本情報処理開発協会 | 日本情報処理開発協会 | 情報処理推進機構 |
まだ情報セキュリティのマネジメントが十分に根付いていない段階では,情報セキュリティ監査制度により専門家による実施状況のチェックや助言を得ることにより,より高度な段階に進むのが適切ですし,ある程度のレベルに達したら,ISMS認証制度により証明してもらうのがよいでしょう。比喩的にいえば,情報セキュリティ監査制度は模擬試験でそれにより弱点の発見と克服のためであり,ISMS適合性評価制度は本試験で資格を得るためであるといえます。
情報セキュリティ監査制度では,監査の目的を保証型監査と助言型監査にわけています。
情報セキュリティ監査制度の体系(公表されている基準集)は次の通りです。
また,管理基準と監査基準の典型例として,行政での基準モデルが提供されています。中央官庁を対象としていますが,地方公共団体でも参考になると思います。
管理基準の内容の一部を示します。すなわち,これらの項目をすべて完全に実施することを目標にして,当面はその重要度や団体の成熟度に合わせて取捨選択することになります。
2 組織のセキュリティ 2.1 情報セキュリティ基盤 目的:組織内の情報セキュリティを管理するため 2.1.1 セキュリティを主導するための明瞭な方向付け及び経営者による目に見える形での支持を 確実にするために、運営委員会を設置すること 2.1.2 運営委員会は、適切な責任分担及び十分な資源配分によって、セキュリティを促進すること 2.1.2.1 運営委員会は、適切な責任及び資源配分によって、組織内におけるセキュリティを促進すること 2.1.2.2 運営委員会は、情報セキュリティ基本方針並びに全体的な責任の見直し及び承認をすること 2.1.2.3 運営委員会は、情報資産が重大な脅威にさらされていることを示す変化を監視すること 2.1.2.4 運営委員会は、情報セキュリティの事件・事故の見直し及び監視をすること 2.1.2.5 運営委員会は、情報セキュリティを強化するための主要な発議の承認をすること 2.1.2.6 運営委員会は、一人の管理者が、すべてのセキュリティ関連活動に責任をもつこと 2.1.3 大きな組織では、情報セキュリティの管理策の実施を調整するために、組織の関連部門からの管理 者の代表を集めた委員会を設置すること 2.1.3.1 管理者の代表を集めた委員会では、組織全体の情報セキュリティのそれぞれの役割及び責任への 同意を得ること 2.1.3.2 管理者の代表を集めた委員会では、情報セキュリティのための個別の方法及び手順(例えば、リス クアセスメント、セキュリティの分類体系)への同意を得ること 2.1.3.3 管理者の代表を集めた委員会では、組織全体の情報セキュリティの発議(例えば、セキュリティの意 識向上プログラム)への同意及び支持を得ること 2.1.3.4 管理者の代表を集めた委員会では、セキュリティを、情報化計画の作成過程の一部にすることを確 実にすること 2.1.3.5 管理者の代表を集めた委員会では、新しいシステム又は新しいサービスのためのそれぞれの情報 セキュリティの管理策の妥当性の評価及びその実施の調整をすること 2.1.3.6 管理者の代表を集めた委員会では、情報セキュリティの事件・事故の見直しをすること 2.1.3.7 管理者の代表を集めた委員会では、組織全体への情報セキュリティに対する目に見える形での業 務上の支援の促進をすること
ISMS適合性評価制度は,平成14年からVer1の認証基準で開始されましたが,平成15年4月にVer2へ移行しました。
ISMS認定基準では,その目的を次のように示しています。
「本基準は,経営陣および要員が,効果的なISMSを構築し,運営管理していくための
モデルを提供することを目的とする。」
「本基準は,組織の事業上のリスク全般に対して,文書化されたISMSの確立,導入,
監視,見直し,維持および改善に関する要求事項を規定するものである」
「組織は,自らの事業の活動全般およびリスク全般を考慮して,文書化されたISMSを
構築,導入,維持し,かつこれを継続的に改善すること。本基準で使われるプロセスは
PDCAモデルに基づいている」
認定基準の目次は次の通りです。
第0 序文 第1 適用範囲 第2 引用規格等 第3 用語及び定義 第4 情報セキュリティマネジメントシステム 第5 経営陣の責任 第6 マネジメントレビュー 第7 改善 附属書「詳細管理策」
第4〜第7は,情報セキュリティ・マネジメントシステムを行うための基本事項です。附属書「詳細管理策」が認証審査での要求事項です。詳細管理策の目次と要求事項の一部を示します。
目次 1.はじめに 2.実践規範への手引き 3.情報セキュリティ基本方針 4.組織のセキュリティ 5.情報資産の分類及び管理 6.人的セキュリティ 7.物理的及び環境的セキュリティ 8.通信及び運用管理 9.アクセス制御 10.システムの開発及び保守 11.事業継続管理 12.適合性 「4.組織のセキュリティ」の一部
4(1) 情報セキュリティ基準 管理目的:組織内の情報セキュリティを管理するため。 4(1)@ 情報セキュリティ運営委員会 情報セキュリティを主導するための明瞭な方向付け及び経営陣による目 に見える形での支持を確実にするために,運営委員会を設置すること。 運営委員会は,適切な責任分担及び十分な資源配分によって,セキュリ ティを促進すること。 4(1)A 情報セキュリティの調整 大きな組織では,情報セキュリティの管理策を調整するために,組織 の関連部門からの管理者の代表を集めた委員会を利用すること。 4(1)B 情報セキュリティ責任の割当て 個々の資産の保護に対する責任及び特定のセキュリティ手続の実施に対 する責任を,明確に定めること。 4(1)C 情報処理設備の認可手続 新しい情報処理設備に対する経営陣による認可手続きを確立すること。 4(1)D 専門家による情報セキュリティの助言 専門家による情報セキュリティの助言を内部又は外部の助言者から求め, 組織全体を調整すること。 4(1)E 組織間の協力 行政機関,規制機関,情報サービス提供者及び通信事業者との適切な関 係を維持すること。 4(1)F 情報セキュリティの他者によるレビュー 情報セキュリティ基本方針の実施を,他者がレビューすること。
この附属書「詳細管理策」と情報セキュリティ監査制度の「情報セキュリティ管理基準」を比較すると,詳細管理策の明細(すなわち要求事項)を実現するための手段が情報セキュリティ管理基準に列挙されていることがわかります。すなわち,情報セキュリティ管理基準を実施すると,ISMSの認定が得られるのです。
ISMS適合性評価制度の認証審査は次のような手順で行われます。
ここで注意すべきことは,審査員は被審査企業が設定した範囲・方法が実践されていることを評価基準との適合性により合否判定をするだけであり,被審査企業の情報セキュリティ・マネジメントのレベルが3とか5であるというようなレベルの評価をするのではないということです。
被審査企業が比較的狭い範囲・低いレベルに設定すれば合格しやすくなります(極端な場合は書類審査で否定されるでしょうが)し,広範囲・高レベルを設定すれば,実践されていない事項が出やすいので,合格しにくくなります。ですから「当社はISMS認証を得たので,セキュリティ対策は万全である」とはいえないのです。
しかし,インターネットで個人情報や商取引を取扱っているサイトや情報関連企業では,これを取得することが受注に役立ちますので,この制度はまだ始まったばかりですが,既にかなりの企業が認証取得しており,多くの企業が認証取得をしたいと考えています。
情報セキュリティ対策を円滑に推進するには,継続的な全社活動として運営することが必要です。「組織として取り組む」ことが重要なことを強調します。
全社的活動を円滑に推進するには,セキュリティ統括管理責任者である首長あるいはCIOを委員長として,局長クラスを委員とするステアリング・コミッティが積極的なリーダーシップを発揮して,明確な方針を示し,この実行状況を把握して,さらに改善をすることが大切です。
ところがややもすると,次のような事態になりがちです。
「桶の理論」のように,非常に高度なセキュリティ対策を行っても,1ヶ所に脆弱な部分があれば,脆弱性はそのレベルになってしまいます。しかも,「パソコンのあるところに脅威あり」ですので,エンドユーザ・コンピューティングが普及している環境では,脆弱性は庁内のあらゆるところに存在します。
ところが,情報セキュリティ対策はパスワードの定期的な変更やソフトウェアのインストール禁止など,ユーザの利便性と対立することがよくあります。情報セキュリティの重要性が十分に認識されていないと,ユーザ部門での脆弱性を突かれて攻撃されます。ユーザに起因するいくつかの脆弱性を列挙します。
これに加えて,重要書類の机上放置や持ち出し,電車や飲み屋での放談など,セキュリティ対策は多様です。一部の人が努力すれば解決できるものではなく,全員が認識することが大切なのです。
情報セキュリティ対策で最も重要な部門は情報システム部門です。ところが,要員不足などの原因により十分な対策がとられていないことが多いのです。これでは「仏作って魂入れず」になってしまいます。
成熟度(Maturity Model)の概念は,米国官庁が情報システム開発を発注するときに,ベンダの品質管理能力を査定するための尺度として,カーネギーメロン大学が開発したCMMがポピュラーですが,その後,「ITガバナンスの成熟度」(COBIT)とか「経営の成熟度」(経営品質賞)などのように広く使われるようになってきました。
それぞれの用途により若干の違いはありますが,ルールがどれだけ組織に浸透して実施されているかをレベル0からレベル5までの段階で評価するものです。
レベル0 存在しない(Non-Existent) 組織は問題の重要性を認識していない。当然ルールもない。 レベル1 初歩的(Initial) 組織が問題を認識しているが、標準的なプロセスではなく、個人ごとあるいはケースに応じた 場当たり的なアプローチである。マネジメント手法は組織化されていない。 レベル2 繰り返し可能(Repeatable) 同じ業務を行う人々が同じ手続きに従っている。しかし,標準プロセスに関する正式なトレー ニングは行われていない。個人の知識への依存度が高く,個人の責任になっている。 レベル3 定義されている(Defined) 手続きが標準化、文書化され、トレーニングを通じて伝達されている。しかし,プロセスの遵 守は個人に委ねられており、違反は検知されにくい。 レベル4 管理されている(Managed) 手続きへの遵守状況を監視し、測定することができる。効果をあげていない部分に対して行動 を起こすことができる。プロセスは定常的に改良され、適切な手法を提供している。 レベル5 最適化(Optimised) 継続した改良と成熟度のモデル化の結果、プロセスがベストプラクティスのレベルにまで改良 されている。
市町村の情報セキュリティの成熟度は,レベル0からレベル1に差し掛かっている段階が多いようです。セキュリティポリシーの策定によりレベル3へ,情報セキュリティ監査の実施によりレベル4へと成熟度を向上させることが望まれます。
当然ながら,セキュリティポリシーが策定されていればレベル3,情報セキュリティ監査を一度実施すればレベル4であるということではありません。各項目において成熟度にバラツキがあります。全組織が全項目を達成した段階で,その組織の成熟度がそのレベルに達したと評価するのです。
情報セキュリティに関しては,先に示したように多くの基準やガイドラインがあります。それらはベストプラクティスだともいえます。レベル1の段階の組織が一挙にレベル5への飛躍ができれば理想的ですが,そうはいきません。あまりにも文化が違うので,非現実的な夢物語として受け取られ,本気に取り組もうとはしません。強制すれば,実際には全然やっていないのに,表面的には取り繕った報告をするという,最悪の副作用が出てしまいます。
レベル3やレベル4を将来目標として掲げ,今年はレベル2を達成しようとか,まずウィルスと不正アクセスの脅威に対してレベル4を達成し,その次に重要データの管理をしようというようなステップ・バイ・ステップで着実に成熟度を向上させることが大切なのです。情報セキュリティ対策は長期的な「継続的改善活動」なのです。それには,経営者がしっかりとした信念を持つ必要があります。線香花火的な関心ではいけません。
このPDCAサイクルの考え方は,セキュリティポリシーでもISMS適合度認証制度でも取り入れられています。成熟度をPDCAサイクルに当てはめると,レベル3はP(計画)とD(実施)であり,レベル4はC(測定)とA(行動)であるといえます。すなわち,PDCAではCAの部分が重要なのです。
インターネット環境での情報セキュリティ対策では,各種サーバやネットワークの監視が重要です。しかし,これを行うには,高度のセキュリティ技術者を365日24時間,監視業務につかせる必要があります。それは府県や民間大企業でも困難ですので,インターネットに直接接続するサーバ類を専門業者に預けて,その管理や監視業務をアウトソーシングする動向があります。
それ以外の理由でも,情報システム部門をアウトソーシングするとか,ハードウェアを自社では持たずにASPを活用する傾向が強くなっています。
地方公共団体ではアウトソーシングは以前から行われていました。たとえば市民税の計算のような単純集計業務は,申告書類を整理したものを民間の計算センターに出して計算し帳票印刷をさせていました。各種のデータ入力業務も民間企業を利用していました。しかし,これらの業務はアウトソーシングというよりも,外注というほうが適切でしょう。
地方公共団体では地域経済の低迷により,深刻な財政難になっています。それに対処するには抜本的なコストダウンが必要ですが,それには人員削減が最大の課題になります。反面,住民サービスの向上が強く求められています。それに応えるためには,地方公共団体の本来の任務であるサービス企画業務に集中する必要があります。それで情報処理のような地方公共団体でのコア・コンピタンスではない業務をアウトソーシングする動きが多くなってきました。
民間企業では1990年代にBPRが注目されましたが,地方公共団体でも業務の見直しをして,庁内内部で抱え込む必要がない業務を積極的に民間に委託し,しかも民間の活力やノウハウを活用するという戦略的アウトソーシングへと変化してきました。
たとえば岐阜県では,情報システムの開発・運営を一括してアウトソーシングしただけでなく,情報産業振興政策の企画・立案までも提案させ,それと価格点を総合的に評価してアウトソーシング先を決めています。大阪府では,松下電産・富士通・NTT西日本からなるサービスセンターに7年間で23億円にもなる業務をアウトソーシングしました。そして,運営管理などの具体的な方法の詳細は民間企業や団体に任せるという「性能発注」を採用しています。
実際に,アウトソーシングをした地方公共団体では,その効果として「専門ノウハウの活用」「人材不足への対応」「コスト削減」などがあげられています。
しかし,アウトソーシングするには多様な問題があります。上記の「アウトソーシングの効果」と同じアンケート調査では,下図のような問題点が指摘されています。
民間企業でも共通する問題が多いのですが,ここでは地方公共団体に特化して考えます。前述のように,地方公共団体は究極的には責任をとることができないので,事前・事後に説明責任が強く求められます。そのためには,第三者による評価システムを作ることが求められます。
行政の業務にトラブルが発生したら,住民の生活に大きな影響を与えます。特に大規模災害が発生したときにこそ,安定した稼動が期待されます。また,個人や企業の情報をはじめ多様な機密情報を取扱っていますので,民間企業とは格段の機密保持が要求されます。このような観点から,適切なアウトソーシング先を選定する基準や,安定かつ健全な運営のための管理基準が重要になります。
これらがアンケートでも高い順位を占めているのは,関係者がこれらを真剣に重視している表れであり,適切なことであるといえます。でも逆にいえば,これらが未だ十分な対策がなされていないからだともいえます。総務省が情報システム調達先選定にCMMを用いるとの計画があり,その後,検討し直すことになっていますが,どうなるでしょうか。
これらはアウトソーシングをする目的の明確化に関する事項です。一般にアウトソーシングをすることによりコストダウンが実現するといわれていますが,それには現在の費用の把握が前提になります。特に「見えない費用」を適切に把握することが求められます。
地方公共団体の予算は単年度予算ですが,一般にアウトソーシングは長期間の契約になりますので,プロジェクト予算制度が必要になります。また,いったんアウトソーシングすると,契約途中だけでなく契約期間が終了したときに他の業者に変更するのがかなり困難です。地方公共団体でのアウトソーシングでは,経験のある業者を探すことが困難なので,同じ業者に継続的に契約することになりそうです。官民の癒着や天下りなどが発生しやすくなります。アウトソーシング先を変更するときに新業者へ支援する契約を結ぶとか,天下り禁止の内規を作る必要があります。
「住民の同意」が問題であるという回答が非常に少ないことが気になります。アウトソーシングの目的には住民も賛成であると思います。でも住基ネットワークではあれだけの反対があったのです。それよりももっと多様な情報が民間企業で取扱われるのですから,当然何らかの反対意見が出るはずです。アウトソーシングに伴う副作用もあることを説明した上で,住民の意見を聞いたのでしょうか? 「住民には黙ってアウトソーシング計画を検討しているが,強い反対意見は出ていない」ということだとなると由々しき問題です。「同意」関連の項目で,職員>議会>住民の順になっているのは,副作用を知らせていない順でではないでしょうか?
下図は,地方公共団体と民間が「電子自治体推進にあたっての最重要課題」と思う項目です。両者には大きなずれがあります。住民はその「結果」に関心があるのに,地方公共団体では行政内部の形式に関心を持っています。住民よりも中央官庁を見ているような気がします。
現実に地方公共団体職員へのアンケート調査でも,電子化による効果は,将来的には期待が高いものの,現状ではまだまだのような状態です。住民に調査をすれば,これよりももっと低い数字になるのではないでしょうか。
地方公共団体の業務は,少なくとも基本的な事務処理分野では,共通した業務を共通して手続きで行っていることが特徴です。民間企業では,業務内容はかなり異なるのに,ERPパッケージの利用が普及しています。行政用ERPパッケージを開発して,すべての地方公共団体が利用すれば,情報システム開発費用は極度に低減できるはずです。
同じシステムを利用するのであれば,別々にコンピュータを導入する必要はなく,共同して用いたほうが安上がりになります。そしてそのコンピュータのハードウェアも含む運営全体をアウトソーシング(この形態をASPとかiDCといいます)すれば,さらに費用を低減できます。
このような発想から,「共同アウトソーシング」が注目されており,総務省は平成15年度予算に28億円を要求しています。その要求主旨は「申請届出等行政手続のオンライン化をはじめとする電子自治体の実現のため,複数の地方自治体の業務を標準化し,民間企業のノウハウ・システムを有効活用することにより,住民サービスの向上と地方自治体の業務改革とIT関連地場産業振興等による地域経済の活性化を図る,「共同アウトソーシング」もモデルシステムを開発し,実証実験・検証を実施するとともに,電子自治体情報セキュリティ基準の策定など,電子自治体の情報セキュリティを確保する・・・」となっています。
このようなことは,地方公共団体にコンピュータが導入されるようになった時点で当然行うべきことであり,いまさらの感じもしますが,電子自治体や市町村合併には必要なことですので,早急な実現が期待されます。なにも「地域で複数」などといわずに,全地方公共団体を一つのシステムにして,その運営を細切れにして個別の業者に発注すればよい。しかも,入札価格,契約条件,運用成績などを一覧性のあるデータベースにして,国民全体に公開すればよいと思います。
これまで地方公共団体はサービス業なのに独占企業でした。競争がないと発展はないし,評価もできません。不十分です。わが県や市の個々の共通業務でのサービスレベルは,全地方公共団体で何位であり,どのような独自のサービスを提供しており住民の評価はどうかなどを公表して,互いに競争する環境を作り出すように発展することを期待します。
アウトソーシングやASPの利用の目的では,民間企業と地方公共団体ではやや違いがあるようです。よく「先進民間企業のノウハウを・・・」という話がありますが,目的をよく考えないと不適切な状況になる危険もあります。
その一例として,民間企業ではアウトソーシング先を外注業者としてではなく,対等なビジネスパートナーとして認識することが重要だといわれます。単に発注側のニーズを押し付けるのではなく,受注側の専門的な提案を期待する。それにはある程度のコスト増があってもよいし,ある分野ではブラックボックスの丸投げでもかまわないという方針になります。
しかし,行政の場合はそれが通用するでしょうか? 前述のように,アウトソーシング先を決定するのに提案も考慮したり,「性能発注」をしたりしている先進的な地方公共団体もあります。でもそれは,地方公共団体側にそれを適切に評価できる能力があることが前提になります。さもないと,アウトソーシング先の提案を鵜呑みにするような事態になります。それでは,住民サービス企画という地方公共団体のコア・コンピタンスを一民間企業に任せたことになり,ガバナンスを失うことになります。
住民の生活がかかっているのですから,ノウハウや提案をする以前に,発注元の指示に忠実であることが求められます。対等なパートナーではなく,指揮命令と遵守保証が明確になっていなければ,住民の信任は得られません。たとえばアウトソーシング先の従業員は故意あるいは過失による個人情報漏洩について,どのような刑事責任が問われるのでしょうか? 地方公共団体の監督責任はどのように規定されているのでしょうか? これが現在よりも厳しくなるのでないと,住民はアウトソーシングそのものを支持しないでしょう。
その監督責任を持つ職制として,CIOがあります。ところが,府県レベルですら民間大企業に比べてCIOがいる県は少ないし,その地位も低いようです。これで適切なITガバナンスがとれるのでしょうか? まして「特定の体制はとらない」のでは困るのです。