セキュリティの
学び場

今回の解説ニュース

総務省から公表されている地方公共団体向けのガイドラインが改定されています。ガイドラインで今回見直された点や、一般企業でガイドラインを活用する際に気を付けるべきポイントについて説明します。

今回改定されたのは、総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」及び「地方公共団体における情報セキュリティ監査に関するガイドライン」です。

ガイドライン等の主な改定内容は

• 業務委託・外部サービス利用時の情報資産の取扱い
• 情報セキュリティ対策の動向を踏まえた記載の充実
• 多様な働き方を前提とした情報セキュリティ対策
• マイナンバー利用事務系から外部接続先へのデータのアップロード

の4点が挙げられています。

どこが改定？ガイドラインの主な改定内容4点について

先ほど項目として挙げた、ガイドラインの主な改定内容4点について、一般企業でも参考になりますので、それぞれ簡単に説明します。

1点目「業務委託・外部サービス利用時の情報資産の取扱い」
改定内容としては「外部サービス利⽤時のライフサイクルに渡るセキュリティ要件や利用承認手続に関する規定を記載」と「今後のクラウドサービスの活用を見据え、第三者認証制度や監査報告書をクラウドサービス選定の指標・基準等として、積極的に活用するよう記載を見直し」が挙げられています。まとめると、クラウドサービスも含めた外部委託をする際のセキュリティ要件や選定基準などについて、明記されるようになったということです。

2点目「情報セキュリティ対策の動向を踏まえた記載の充実」
改定内容としては「不正プログラム対策製品やソフトウェア等を導入するだけではなく、監視体制やCSIRTとの連携等の組織的な対応が必要である旨を記載」が挙げられています。まとめると、セキュリティ対策製品を導入するだけでなく、インシデント対応の体制等も必要であるということです。

3点目「多様な働き方を前提とした情報セキュリティ対策」
改定内容としては「テレワーク実施場所等の運用面に関するセキュリティ対策を記載」と「Web会議に部外者を参加させない対策を記載」が挙げられています。まとめると、テレワークの普及に伴い、個人端末の業務利用や、Web会議のセキュリティなどについて明記されるようになったということです。

4点目「マイナンバー利用事務系から外部接続先へのデータのアップロード」
改定内容としては「リスクアセスメントの結果を踏まえ、マイナンバー利用事務系から外部接続先へのデータのアップロードを認め、必要となる情報セキュリティ対策を徹底」が挙げられています。まとめると、マイナンバーにかかわるシステムが外部に接続されることで必要となるセキュリティ要件について明記されるようになったということです。

以上、4点をさらにまとめると、主にパンデミック後の社会に対応するために必要なセキュリティ要件について改定されているように見られます。

「ガイドライン」を実際の運用に反映させていくには

ガイドラインを活用する上での注意点として、セキュリティの運用自体が形骸化してしまわないようにすることが必要です。

セキュリティの運用に役立つ基準やガイドラインは数多く存在

今回、改定が公表された地方公共団体向けのガイドライン以外にも、一般企業向けにはISO27001やプライバシーマーク、クレジットカード情報を取り扱う事業者向けにはPCIDSSと、セキュリティの運用に役立つ国際基準やガイドラインは数多く存在します。セキュリティ対策を行う上で、何から手を付けたらいいかわからない場合、またはセキュリティの観点に漏れがないか客観的に確認したい場合に有効です。

「ガイドラインに準拠すること」が最終目的ではない事を認識

ただし、国際基準やガイドラインに準拠することや認定を受けることが目的化してしまい、セキュリティの運用自体が形骸化してしまうと、セキュリティ対策として十分に機能しなくなってしまう場合があります。具体的には、PCIDSSの認定を受けたECサイトにSQLインジェクションが発見され、攻撃者に脆弱性を悪用されることにより、個人情報やクレジットカード情報が漏洩したインシデントが数多く発生しています。ガイドラインを活用して認定を受けることは手段であり、セキュリティの向上が目的であるはずです。本来の目的を達成するために、運用が形骸化しないように注意しましょう。

今回は、一般企業でガイドラインを活用する際のポイントについてお届けしました。IPAやJPCERT/CCからはその他にも多くの参考になるドキュメントが日々公表されていますので、ご興味のある方は両サイトを定期的にのぞいてみてください。