自治体の情報セキュリティ対策で陥りやすい傾向と処方箋
公的機関ならではの制約がある自治体の情報セキュリティ対策は、民間と同様には行えない。自治体には予算的、人的制約のほか、単年度の事業計画が多いといった特性もある。過去に起きた個人情報漏洩や不正行為の事件には、内部の人的要因によるものもあり、それらへの対策も必要だ。
「自治体の情報セキュリティ対策では、技術的要素と人間的・社会経済的要素への対策が必要です。前者はサイバー攻撃、マルウェア、乗っ取りなどで、後者にはソーシャル・ハッキング、フィッシング、組織犯罪、社会構造が含まれます」。
明治大学公共政策大学院ガバナンス研究科教授の湯淺墾道氏は、こう指摘する。公的機関における過去の大量の個人情報漏洩や不正行為には、様々なパターンがある。例えば、業務委託先や再委託先、派遣社員や再雇用者を通じて発生したケースは多い。
また、最近の事例では、神奈川県真鶴町で住民基本台帳のデータや選挙人名簿が不正にコピーされ、外部に流出する事件が発生。その後、町長が自ら持ち出しを指示した事実が明らかになった。「技術的要素への対策も重要ですが、このように内部の人的要因による事件もあります。ですから、自治体の情報セキュリティ対策では、内部的な要素も無視できません」。
民間とは異なる自治体の
情報セキュリティ対策
自治体には公的機関ならではの制約があるため、民間企業と同様の情報セキュリティ対策は行えない。例えば、厳しい財政状況の中、必要な予算の確保は困難だ。また、年度ごとに予算が決められており、執行の方法や時期に柔軟性を持たせにくい。
さらに人的制約があり、急に情報セキュリティ対策が必要になった場合も、集中的に人件費をかけて人や専門家を配置するのは難しい。他には、良いと思うサービスを見つけても、自由に契約することはできない。随意契約で良い場合もあるが、入札が必要となる場合もある。
一方、湯淺氏によれば、自治体の情報セキュリティ対策で最大のネックになるのは以下の点だ。「日本の行政機関の方々は非常に真面目で、ミスや誤りはあってはならないと考えています。これは結構な心構えですが、事故の発生を想定した対策が立てられなくなるという危険性があります」。
このほか、自治体には権力性があるほか、情報は原則的に公開しなければならない。さらに行政内部で情報を収集し、利活用して保存し、廃棄するまでのサイクルが定められており、自由に変えられないといった特質もある。
ルールを守ってもらう
ための様々な対策
湯淺氏は、自治体の情報セキュリティ部門における最大の悩みについて、「ルールを作ってもなかなか守ってもらえない点」と指摘する。さらに、人的な負担の問題もある。情報セキュリティ対策を強化すればするほど、セキュリティ部門の負担が増え、業務効率が低下し、結果として情報セキュリティ部門が批判にさらされてしまう。
ルールが守られにくい背景には、様々な要因がある。行政機関ではまず前例や慣例が重んじられる。このような組織で、新しいルールを作り、守ってもらうのは難しい。さらに大きな要因は、ルールを作る側と守る側の意思疎通が足りない場合に起きる両者の対立だ。また、ICTに関わる業務は個人で行うことが多く、うまく行かない場合もチームでの解決はしにくいという問題もある。
一方、ルールを守る側が、「禁止されているとは知らなかった」という場合もあり、禁止事項のしっかりとした周知は重要だ。また、「多少、守らなくても大したことはないと思った」と言われるケースもある。これを防ぐために、「ルールを守らないと、こういう起きてしまう」と禁止目的を粘り強く伝える努力が要る。さらに、「ルールは知っていたが、守ると仕事にならない」と言われるケースでは、仕事に支障が出るルールの方に問題がある。このような場合は、ルールを順守するという原則のもと、やむを得ない場合には例外的に破っても良いという例外処理が求められる。長期的には、ルールと仕事が両立できる解決策を見出さなければならない。
他には、意図的にルールを破り、「ばれると思わなかった」と言う人もいる。「こういったケースの対策として、様々なアクセスログや操作ログをきちんと保存しておく。あるいはネットワーク上やカメラ等の様々な監視手段を組み合わせ、『ルール違反をすれば、必ずばれます』と皆に理解してもらうことが大切です」と湯淺氏は言う。
管理者自身の不正行為を防ぐためには、システムやネットワーク、その他のアクセス権限や管理権限を1人に集中させないようなしくみづくりが重要だ。「権限はできるだけ小さくし、分割しておくべき。権限の集中は、他の弊害も生みます。例えば、東日本大震災では一部の自治体で権限を持つ人が行方不明になってしまい、復旧、復興作業に支障を来たしたケースもあります」。
さらに人間は一定の確率で過ちを犯すもので、管理者も例外ではない。このため、決定の際にはダブルチェックの体制を整えておく。その際、「これまで大丈夫だったから、今後も大丈夫だ」と考える前例主義があると、問題を見逃す場合があるので注意が必要だ。
「PDCAサイクル」で
陥りやすいパターン
組織の情報セキュリティマネジメントを効率的に行うために、Plan(計画)、Do(実施)、Check(点検・監査)、Act(見直し・改善)から成る「PDCAサイクル」を回すことが提唱されている。しかし、これを行政で行う場合には、陥りやすい落とし穴のパターンがある。
例えば、PDCAサイクルは単年度で完結する訳ではないが、行政では単年度の事業計画の中で実施しがちだ。年度が始まってから計画を立てるため、実施が遅くなり、その後の点検・監査や見直し・改善の時間はわずかになりやすい。そこで湯淺氏は「次年度の情報セキュリティに関する計画は前年度に作り、年度が始まったらすぐ実施すべきです。また、予算は前年度の概算要求で既に上げておくべきです」とアドバイスする。
予算上や制度上の制約がある中、公的機関の情報セキュリティ対策は、以下のようなサイクルになりがちだ。まず、年度の途中で急に必要になり、予算が付かない。あるいは次年度にやろうとして概算要求をしたが、予算が付かない。仕方なく、職員が人的に対策をする。すると、お金をかけなくても情報セキュリティ対策はできると見なされ、また予算が付かなくなる。このような悪循環に陥らないように、必要な対策はしっかり行っていくことが重要だ。