情報セキュリティポリシーの改定作業を進めている東京都は、8月にも新しいポリシーを策定する見込みだ。7月3日、セキュリティ・ベンダーのトレンドマイクロが開催しているカンファレンス「DIRECTION 2007」のパネルディスカッションで明らかになった。
都のポリシー改定に携わってきた加島保路 東京都主税局総務部長(前・総務局情報システム部長)は、「自治体における情報セキュリティ対策」と題したパネルディスカッションの中で、8月中をメドに都のポリシー改訂作業が完了予定であることを明らかにし、改定案の概要について語った。
改定案では、情報資産を重要度に応じて3段階に分類。また、これまで知事部局、公営企業局(交通局、水道局、下水道局)、行政委員会(教育委員会、選挙管理委員会など)ごとに別々にポリシーを策定していたが、改訂後は基本方針部分は全庁で統一・共通化するという。全庁的に大きな作業負荷がかかると思われる情報資産の分類作業について加島部長は、「改定作業中から、各部局からは情報資産の分類についての問い合わせが多い。ポリシー策定後、まずは情報部門で情報資産の分類をして、モデルを示したうえで全庁的に導入していくことになるだろう」と見通しを語った。
総務省、地方自治体のBCP策定の手引きを今年度中に作成
総務省自治行政局地域情報政策室の元岡透室長は、地方自治体の情報セキュリティ対策についての支援の方向性について語った。
元岡室長は、現状の地方自治体における情報セキュリティ対策について「制度面(情報セキュリティポリシー策定、個人情報保護条例制定など)は整備されつつつあるが運用面からの対策がまだ不十分」という認識を示し、運用面における総務省の支援策を説明。総務省では昨年9月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を見直し、現在は「地方公共団体における情報セキュリティ監査に関するガイドライン」の全面見直しを行っている(6月27日までパブリックコメントを実施、近く公開予定)。今後の地方自治体のセキュリティ支援策としては、今年度中に「情報資産のリスク分析」「事業継続計画(BCP)の策定」「外部委託に伴う個人情報漏えい防止対策」について、地方自治体向けの運用手引きやツールを作成するという。
総務省が情報セキュリティポリシーのガイドラインを見直したり、都がポリシーを改定した背景の一つには、情報資産に対する脅威が年々変化していることが挙げられる。トレンドマイクロ戦略企画室の小屋晋吾室長は最近のウイルスによる攻撃の変化について「Webを悪用するウイルス(ポート80に対する脅威)が大幅に増えているが、きちんと対策を施している組織がまだまだ少ない」「単発型の無差別攻撃から、特定地域において、狙う対象を明確にした連続型の攻撃が増えてきた」といった傾向を解説した。
