自治体向けセキュリティガイドラインが改定、脅威の高度化やクラウド利用を考慮

2015.04.15

　総務省は3月、「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定版を公表した。標的型攻撃などのセキュリティ上の脅威の高度化やクラウドサービスの利用拡大など、近年の自治体の情報セキュリティ環境の変化を反映した内容に見直した。

　自治体向けのセキュリティポリシーガイドラインの改定は、2010年11月の改定以来、4年半ぶり。2012年ころから顕在化した標的型攻撃、東日本大震災を機に自治体にも利用が広がったソーシャルメディアサービス、システムや業務の効率化の観点から現場でのニーズが高まっているクラウドサービス活用など、自治体を取り巻くセキュリティ環境の変化に対応するための記述を追加している。2014年5月に決定した「政府機関の情報セキュリティ対策のための統一基準」の改定内容を、自治体向けガイドラインにも反映した格好である。

　ガイドラインの主な改定事項は表の通り。すでに政府機関や自治体で侵入・情報窃取の被害が報告されている標的型攻撃については、職員教育などの人的対策、侵入を防ぐ入り口対策、侵入後の情報窃取を防ぐ内部対策の必要性を記載し、具体的な対策も例示した。

　クラウドサービスについては、住民情報などを扱う場合は、「日本の法令の範囲内で運用できるデータセンターを選択する必要がある」と注意書きで明記した。パブリックコメントでは、クラウドサービスで扱える情報の範囲を明記して利用範囲を拡大すべき、暗号化などの対策を条件とすれば十分ではないかなどの修正要望が寄せられていたが、総務省は「データセンターの設置されている国の法令により、日本の法令では認められていない場合であっても海外の当局による情報の差し押さえや解析が行われる可能性がある」として、日本の法令が適用できることを利用の条件とした。ただし、データセンターの所在地を制限するものではないとしている。

　サービス利用を含む外部委託に関しては、再委託事業者のセキュリティレベルが下がる恐れがあることを理由に、「再委託は原則禁止」とした。例外的に再委託を認める場合には、「再委託事業者の情報セキュリティ対策が委託事業者と同等水準であることを確認し、委託事業者に担保させた上で許可しなければならない」としている。

　2016年1月から運用が始まるマイナンバー制度へのセキュリティ面の対応は、ガイドラインに加えて、「情報提供ネットワークシステム等の技術的基準」や「特定個人情報の適正な取扱いに関するガイドライン（行政機関等・地方公共団体等編）」が示す安全管理措置などを順守するように求め、特段の記述の追加はしていない。ただし、「（マイナンバー制度での）セキュリティ対策の状況を踏まえ、本ガイドラインについても必要に応じて更なる改定を実施する予定」としている。

　2015年1月に施行された「サイバーセキュリティ基本法」については、同法第5条で、自治体でのサイバーセキュリティに関する自主的な施策の策定と実施が責務規定として法定化され、「情報セキュリティポリシーの未策定団体には策定が必須となり、策定済み団体においても、適時適切な見直しとそれを順守することが重要となっている」とした。

表●「地方公共団体における情報セキュリティポリシーに関するガイドライン」の主な改定事項

1.1　本ガイドラインの目的

　社会保障・税番号制度におけるセキュリティ対策の状況を踏まえ、必要に応じて更なる改定を実施する

3.2　組織体制

（9）情報セキュリティに関する統一的な窓口の設置

（注11）CSIRTの機能や在り方は組織によって様々だが、まずは情報セキュリティに関する統一的な窓口の機能を有する体制を整えることが重要である

3.5.1　職員等の順守事項

（1）職員等の順守事項

（注4）テレワークを導入する場合は、本人確認手段の確保、通信途上の盗聴を防御するために、安全な通信回線サービスを利用しなければならない。その際、通信する情報の機密性に応じて、ファイル暗号化、通信経路の暗号化等の必要な措置を取ることが求められる

3.6.1　コンピュータおよびネットワークの管理

（11）複合機のセキュリティ管理

　庁内ネットワークや公衆電話網等の通信回線に接続して利用されることが多く、ウェブによる管理画面をはじめ、ファイル転送、ファイル共有、リモートメンテナンス等多くのサービスが動作するため、様々な脅威が想定されることに注意が必要である

3.6.5　不正アクセス対策

（7）標的型攻撃に対する人的対策・入り口対策と内部対策

1.人的対策例（標的型攻撃メール対策）

・差出人に心当たりがないメールは、興味のある件名でも開封しない
・不自然なメールが着信した際は、差出人にメール送信の事実を確認する
・標的型攻撃と気づいたら、システム管理者に着信の事実を通知し、注意喚起を依頼

2.電磁的記録媒体に対する対策例

・パソコン等の端末について、自動再生（オートラン）機能を無効化する

3.ネットワークに対する対策例

・ネットワーク機器のログ監視を強化し、情報を外部に持ち出そうとするなどの振る舞いや外部との不正な通信を確認して、アラームを発したり通信を遮断する
・不正な通信がないか、ログをチェックする（事後対策）

3.8.1　外部委託

（2）契約項目

（注7）クラウドサービスの利用に関する考慮事項
　住民情報等の機密性の高い情報を蓄積する場合は、日本の法令の範囲内で運用できるデータセンターを選択する必要がある
（注8）ITサプライチェーンを構成して提供されるサービスを利用する場合は、外部委託事業者との関係におけるリスク（サービス供給の停止、故意/過失による不正アクセス、外部委託事業者のセキュリティ管理レベルの低下など）を考慮し、そのリスクを防止するための事項について外部委託事業者と合意し、文書化しておくことが望ましい

8.再委託に関する制限事項の順守

・再委託は原則禁止する。例外的に再委託を認める場合には、情報セキュリティ対策が十分であり、委託事業者と同等水準であることを確認し、委託事業者に担保させた上で許可しなければならない

3.8.3　ソーシャルメディアサービスの利用

【例文】（2）機密性2以上の情報はソーシャルメディアサービスで発信してはならない

1.なりすまし対策

・「認証アカウント（公式アカウント）」がある場合は利用する

※各項目の先頭の数字や（）は、ガイドライン記載の項目番号など
CSIRT：Computer Security Incident Response Team
機密性2：秘密文書（機密性3）に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産