2016年1月号Vol.101

【コラム】セキュリティーは〝モノ〞から〝管理〞の時代へ

セキュリティーイメージ画像

 昨今、公共性の高い組織へのサイバー攻撃が後を絶たない。マイナンバー制度のスタートによりその脅威は一段と増すことが確実だ。市区町村では、これまでにもさまざまな情報セキュリティー対策を講じてきたが、現状と照らし合わせて、その対策で十分なのか、形骸化していないか、改めて見直す必要がある。

 総務省の『地方自治情報管理概要〜電子自治体の推進状況(平成26年4月1日現在)〜』によると、情報セキュリティーポリシーを策定済みは1704団体と、ほとんどの市区町村が取り組んでいる。しかし、そのうち760団体(44.6%)では策定後一度も見直しを行っていないのが実状だ。

 では、具体的な対策はどうか。技術的な対策では全ての団体がウイルス対策ソフトや定義ファイルの更新を行っているが、重要なデータを暗号化保存しているのは568団体(32.6%) と、まだまだ十分とはいえない。

 物理的な対策としては、ほとんどの市区町村が「サーバー室等の入退室管理」や「USBメモリなどの持ち出し制限」「重要情報を含む紙媒体の適切な管理」などを実施済みと回答している。その一方で、セキュリティーポリシー等の順守状況を自己点検しているのは786団体(45.1%)で、セキュリティー監査については「内部監査のみ実施」でも447団体(25.7%)にとどまる。つまり、多くの市区町村では一般的に「物理的・技術的な対策はとっていても、リスク管理が施されていない」ということだ。

 人的な対策を見ても、職員研修を実施していないところが未だ371団体(24.4%)ある。また、緊急時対応計画を策定しているのは973団体(55.9%)で、緊急対応訓練を実施しているのは314団体(18%)にまで低下する。これでは万一の場合、現場はパニックに陥りかねない。

 なお、内閣サイバーセキュリティセンターでは毎年、自治体など13分野の重要インフラ事業者とサイバー攻撃への対応を想定した共同演習を実施している。昨今の情勢を反映し参加者が急増しているそうだが、こうした機会もうまく活用したい。

 セキュリティーは、問題が起きた時に対応するというやり方は通用しない。PDCA(計画・運用・評価・改善)に沿った「情報セキュリティーマネジメント」で、絶えず改善を図ることが大切だ。改善・強化を図るには危機意識が高い〝いま〞がチャンスといえる。

 なお、2015年3月に公表された『地方公共団体における情報セキュリティポリシーに関するガイドライン』は、最近の脅威の多様化に加え、クラウド化の進展やSNSの普及など社会環境の変化を踏まえたものに改定されている。ぜひ、有効活用してはいかがだろうか。

※掲載の内容、および当社製品の機能、サービス内容などは、取材当時のものです。

※掲載団体様への直接のお問い合わせはご遠慮くださいますようお願いいたします。

  • お客様の声
  • TKCインターネットサービスセンター「TISC」のご紹介