総務省セキュリティガイドライン 23年3月改定の3つのポイント

地方公共団体における情報セキュリティポリシーに関するガイドラインが2023年3月に改定された。今般の改定のポイントは、クラウドへの対応、業務委託先の管理、サイバー攻撃対策の3つ。これらをもとに、いかにして自治体や市民の情報を守っていくべきか、総務省の奥田氏が解説した。

総務省自治行政局住民制度課
デジタル基盤推進室長の奥田 隆則氏

情報セキュリティポリシーの
策定を後押し

総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン」を初めて提示したのは2001年のこと。情報セキュリティポリシーは、組織内の情報セキュリティを確保するための方針、体制、対策などを包括的に定めたものだ。ガイドラインは「基本方針」と「対策基準」で構成され、情報セキュリティポリシー策定の参考となる例文と、例文の解説が示されている。地方公共団体はこのガイドラインを参考にしながら情報セキュリティポリシーを策定し、対策を実施することになっている。

ガイドラインはその後、政府機関等における情報セキュリティ対策の動向や地方公共団体におけるデジタル化の動向等を踏まえながら、適宜改定が行われてきた。2018年9月の改定では、住民基本台帳システムなどを扱う「マイナンバー利用事務系」、財務会計などの情報を扱う「LGWAN接続系」、そして「インターネット接続系」の3領域を分離し、その特長に合わせて情報セキュリティを実施する、いわゆる「三層の対策（αモデル）」の内容が反映された。

2020年12月には、「三層の対策」の効果や課題、新型コロナウイルス感染症への対応を契機としたテレワーク推進などを踏まえ、ゼロトラストセキュリティの考え方を取り入れた「三層の対策」の見直しを実施した。具体的には、インターネット接続系に業務端末を配置し、セキュリティの確保と効率性・利便性向上の両立させた新たなモデル（βモデル、β'モデル）を提示し、その内容が反映された。さらに22年3月の改定では、21年７月の「政府機関等の情報セキュリティ対策のための統一基準群」の改定や、地方公共団体のデジタル化の動向を踏まえた内容が反映されている。

図　令和４年度（令和5年3月改定）の改定のポイント

出典：総務省

改定のポイント①
クラウドサービス利用に対する対応

そして、直近では2023年3月、地方公共団体情報システム標準化の動向を踏まえ、標準準拠システム等のクラウドサービス利用に関する情報セキュリティ対策の内容を反映した改定が行われた。主なポイントは3つだ。

1つ目が「標準準拠システム等のクラウドサービスの利用」だ。その前提として、奥田氏は、自治体情報システムの標準化・共通化の動向について説明。「各自治体が個別にカスタマイズしてきた情報システムの標準化・共通化を図るとともに、オンライン申請等を全国に普及させるためのデジタル化の基盤を構築中です。2025年度までに、 ガバメントクラウドを活用した標準準拠システムへの円滑な移行を目指しているところ」と述べた。

ガイドラインでは、地方公共団体はこの標準準拠システム等について、クラウドサービス等の提供、保守及び運用に基づき、地方公共団体の責任とされる範囲において具体的なセキュリティ対策を行うことを求めている。特にクラウドサービスは、複数のクラウドサービスで構成され、提供される場合があり、利用するクラウドサービスの構成要素を確認し、クラウドサービス事業者の責任の範囲を確認したうえで契約を結ぶことが重要だ。ガイドライン第4編特則には、クラウドサービス上で標準準拠システム等を整備及び運用する場合の考え方とその対策基準が示されており、特則に記載された内容を参考に情報セキュリティポリシーの見直しを求めている。

改定のポイント②
業務委託先管理の強化

2つ目が「業務委託先管理の強化」だ。奥田氏は「ある自治体で委託事業者が全ての住民の情報が入ったUSBをカバンにいれたまま紛失した事案がありました。総務省はこれを極めて重大なインシデントと受け止め、情報漏洩などを防ぐために地方公共団体による管理をより強化する観点から、特に運用面に関する必要なセキュリティ対策を示したのです」とその経緯について説明した。

ガイドラインでは、業務委託先の取扱いに当たり「最小限の権限」「複数人による確認」などを徹底する旨を記載している。委託事業者に対しては、最新版の従事者名簿の提出を求め定期的に確認すること、委託事業者の従業員が地方公共団体の情報セキュリティポリシー等を理解するための研修を行うことを求めている。「運用面の支援として、外部委託先がセキュリティ要件を遵守しているかどうかを確認するためのチェックシートを新たに作成しています。これを参考に、委託事業者への確認に活用してほしい」と述べた。

改定のポイント③
昨今のサイバー攻撃に対する対策

3つ目が「サイバー攻撃対策」だ。ガイドラインでは、ここのところ感染被害が確認されているEmotetをはじめ、ランサムウエア、フィッシングなどの特徴と対策を示している。事前対策としては、導入している OS やソフトウェアのアップデート、パスワード設定の見直しがまず必須となる。また被害を低減するための対策として、データだけでなく、システムも含めたバックアップを取得し、復旧手順をあらかじめ作成し、定期的に確認することが有効だという。

地方公共団体では、別途総務省が定めている「地方公共団体における情報セキュリティ監査に関するガイドライン」を参照して監査項目を策定し、監査を実施する必要がある。ガイドラインの監査項目は、総務省セキュリティポリシーガイドラインの例文の番号に対応して構成されている。

最後に奥田氏は「地方公共団体における情報セキュリティ対策は、地方公共団体が住民サービスを恒常的に提供するにあたって必ず実行しなければならないもの。 総務省は、地方公共団体における情報セキュリティポリシーに関するガイドラインの所管省庁として、情報セキュリティに関する最新の動向を常に把握し、必要に応じて機動的にガイドラインの改定を行って地方公共団体に情報提供を行っていきます。このガイドラインを参考にしながら、ガイドラインに示された内容をもとに情報セキュリティの強化に、より一層ご尽力をいただくことをお願いしたい」と述べ、講演を締めくくった。