■大分県と18の自治体は、2005年度から共同で情報セキュリティ外部監査を実施している。2回目の2006年度は、全自治体が参加し、本格的なオンサイト診断も実施する。共同化実現の背景には、共同発注によるコスト抑制に加えて、市町村独自で仕様書を書かなくても外部監査が受けられるなどのメリットがある。(本間 康裕)

※ この記事は『日経BPガバメントテクノロジー』第13号(2006年10月1日発行)に掲載されたものです。

大分県

 8月2日、大分市内の「アイネス」という県営施設に、県内の全18市町村から情報セキュリティ担当者が集まった。県と市町村が共同で実施する情報セキュリティ外部監査業務に関する説明会に参加するためだ。県と18市町村からの出席者は、外部監査人として選定したNTT西日本による説明にじっくりと耳を傾けた。

■写真 8月2日に大分市内で開催された説明会の様子。
 県と全市町村が参加し、意欲の高さを見せた。
8月2日に大分市内で開催された説明会の様子。県と全市町村が参加し、意欲の高さを見せた。

 説明会は、全団体に実施する今後の監査の日程と必要な提出書類の説明から始まって、昨年度の監査結果の解説へと続いた。最後はセキュリティ研修が行われ、3時間余りの説明会が終了した。県西部の山間地にある玖珠(くす)町から参加した同町総務課情報管理係の高井良加代主任は「共同外部監査のスケジュールや監査内容の説明だけでなく、セキュリティ研修もあって、来たかいがあった」と感想を述べた。

■今年2回目の共同外部監査 全団体参加は全国初の快挙

工藤修二氏
大分県企画振興部
IT推進課
電子自治体推進班主査
工藤 修二氏

 今年度の情報セキュリティ共同外部監査は、昨年度に続いて2回目になる。1回目は2団体(当時は全22団体)が参加できなかったが、今回は県を含む全19団体が参加する。(注1)「都道府県と全市町村が参加した共同外部監査は、全国で初めてだと思う」と大分県企画振興部IT推進課電子自治体推進班の工藤修二主査は胸を張る。

(注1)昨年の共同外部監査には、大分市、豊後大野市を除く19市町村と大分県が参加した。

 主催団体は、大分県電子自治体推進協議会という任意団体で、県の企画振興部IT推進課に事務局を置き、県と県内全18市町村が加盟している。この協議会が今年5月29日から6月28日まで、公募型プロポーザル方式で情報セキュリティ監査の共同実施についての提案募集を実施し、3社から提案の申し込みを受けた(表1)。募集の際は、第三者機関による監査を実現するため、県や市町村の主要な情報システムに関係する業務を委託または再委託している事業者は除外した。

■表1 2006年度の監査人選定と監査のスケジュール
監査人の選定
5月29日~6月28日
公募型プロポーザルで情報セキュリティ外部監査の提案を募集
  • 審査員4人(大分県IT推進課長、別府市情報推進課長、日本文理大学教授、大分大学助教授)が、価格点100点、企画点500点で採点
  • 応募3社からNTT西日本に事業者を決定
監査のスケジュール
8月25日
以下の書類をNTT西日本にデータで提出
  • 昨年度の監査報告書、情報セキュリティポリシー文書、改訂・新規作成した規定文書(ある場合)
  • 事前調査シート、情報セキュリティ部門へのアンケート、庁内LANやWebサーバーの担当部門へのアンケート、税、財務会計、人事給与など情報政策部門以外が運用管理するシステムの担当部門へのアンケート(以上すべて1部ずつ)、一般職員へのアンケート(10部)
  • 技術的監査に関する事前調査シート
9月開始
(~12月)
  • インターネット上に公開されているサーバーを、インターネット経由(リモート)で診断
  • ペネトレーション(侵入)テストを実施する
  • 庁内LAN内部からLAN内部に設置されているサーバーなどのセキュリティの強度をオンサイトで診断
  • 診断を実施した後、一般職員以外のアンケート回答者とのインタビューを実施
  • サーバールームや職場環境の現地調査を実施(受付窓口のパソコン画面の保護や不審者の侵入防止対策と、執務室内部のパソコン、電子記憶媒体、情報資産の管理状況の確認)
  • 前回指摘された項目が改善されているかどうかフォローアップ監査を実施
報告会のスケジュール
10月 中間報告会と勉強会を実施
来年2月 全体報告会を実施
3月 希望する自治体との個別報告会を実施

 これを県のIT推進課長、市町村代表として別府市の情報推進課長、外部の有識者2人(日本文理大学教授、大分大学助教授)の4人からなる審査委員会で審査。1人当たり価格100点、企画内容500点の計600点を持ち点として審査した結果、NTT西日本の提案を選定した。契約は、各団体とNTT西日本が個別に締結する(契約総額は約1600万円)

 監査のスケジュールは次の通り。まず各団体は8月25日までに、昨年度の監査報告書、情報セキュリティポリシー文書、改訂または新規に作成した規定文書がある場合はその文書などをそろえて、データで提出する。加えて、監査人から配布された事前調査シート、情報セキュリティ部門へのアンケート、庁内LANやWebサーバーの担当部門へのアンケートなどを書き込んで送付。税、財務会計、人事給与など情報部門以外でシステムを運用管理する部門や、一般職員へのアンケートも実施する。

 これらの書類の情報を基に、監査人は9月から12月にかけて、実際の監査作業を行う。まず、インターネット上に公開されているサーバーをインターネット経由(リモート)で診断。内部のネットワークに侵入できるかどうかについてペネトレーション(侵入)テストを実施する。その後、希望する自治体の庁舎を訪問して、LAN内部に設置されているサーバーやファイアウオールのセキュリティの強度を庁内LAN内部から診断する(オンサイト診断)。

 さらに、アンケート回答者とのインタビュー、サーバールームや職場環境の現地調査(受付窓口のパソコン画面の保護や不審者の侵入防止対策と、執務室内部のパソコン、電子記憶媒体、情報資産の管理状況の確認)を実施する。また今回は、前回の監査で指摘された事項が改善されているかどうかを見るための「フォローアップ監査」も実施する。

 報告会は合計3回行う。まず10月に全自治体を対象に、リモート診断の結果とアンケートの結果をまとめて分析した内容を監査人が報告する中間報告会を開催。同時に、情報セキュリティに関する勉強会も開く。その後、監査が完了した2007年2月中旬に、大分市内に全自治体が集まって全体報告会を実施。2月下旬から3月にかけて、希望する自治体に対して個別の報告会を開く。

 実はNTT西日本は、昨年2005年度にも、情報セキュリティ共同外部監査の事業者に選定され、監査を実施した。一般には、連続して監査を受ける場合は、異なる事業者を選んだ方がよいと言われている。大分県IT推進課の工藤修二主査は「意図して同じ事業者を続けて選んだわけではない。あくまで今回の提案の内容を審査した結果、情報政策部門以外への監査や職場環境の現地調査などの提案が高く評価された」と説明する。