セキュリティ対策の重要性
当ブログでも少し取り上げていますが、インターネットを閲覧するだけで感染するウイルスが仕込まれていたり、ウイルス感染を防止するためのソフトが原因でコンピューターが作動しなくなったりする事件が身近に起こるようになるなど、不安要因がものすごく多くなってきています。
また、パソコンや記録媒体の盗難・情報の流出による個人情報の漏洩事件も後を絶ちません。
そうした中で、インターネットのセキュリティ対策は勿論のこと、「情報を取り扱う人間の脆弱性に配慮したアクセス制御や行動基準の整備、社内文書の流出やハードウェアの盗難、紛失などの防止といった物理的な要因も考慮して情報セキュリティの保全に取り組む必要がある。」(CyberGovernment Online)との認識が必要になっています。
自治体での対策
自治体の情報化推進を考えていく際には、それがもたらす有効性を語ると同時にセキュリティ対策のありようを明確にし、実際の運用の中でそれを完全に実施することが求められています。
全国の自治体では、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(総務省:平成15年3月18日)をベースにセキュリティポリシーの策定が進みつつあるようです。▲PDFファイル▲
草津市でも、このガイドラインに基づき「草津市情報セキュリティ基本方針」(平成16年4月)が定められています。 ▲草津市HP▲
「草津市情報セキュリティ基本方針」では、セキュリティ対策の種類として次の5項目が掲げられています。
(1) 物理的セキュリティ対策
情報システムを設置する施設への不正な立入り、情報資産への損害および利用の妨害等から保護するための物理的な対策を講ずる。
(2) 人的セキュリティ対策
情報セキュリティに関する権限や責任および遵守すべき事項を明確に定め、職員等に対する周知および徹底を図るとともに、十分な教育・啓発が行われるよう必要な対策を講ずる。
(3) 技術的セキュリティ対策
情報資産を不正アクセス等から保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術的対策を講ずる。
(4) 運用等における対策
情報システムの監視、情報セキュリティ対策の遵守状況の確認等、本ポリシーの運用面における対策を講ずる。
(5) 緊急時におけるセキュリティ対策
緊急の事態が発生した場合に、迅速かつ適切な対応が可能となるような危機管理対策を講ずる
さらにこの計画に基づき、「情報セキュリティ対策基準」や「情報セキュリティ実施手順」が定めるとされています。 (これには、詳細なセキュリティ対策が示されているので、公開すると手の内をすべてさらけ出してしまうことから、非公開とされています・・・納得。)
セキュリティ対策の検証
セキュリティ対策は、万全を期してもそれを破ろうとする悪意ある人たちが存在する以上、必ずセキュリティホールが見つけられたりするものです。というか、むしろセキュリティーが高ければ高い程、それを崩すことに喜びを覚えるようなクラッカーの存在があることを忘れる訳にはいきません。
情報の漏洩や滅失などは、被害を受けて初めて事の重大性が認識されますが、これでは後の祭りです。
このことから、定期的な監査や運用を常に見直していくことが必要です。
昨今、軍事部門までも含めて民間委託が進んでいますが、信頼性の根幹に関わる重要な部分については自分たちで完全なものにするノウハウや人材育成が必要ではないでしょうか。そうした意味では、最高情報統括責任者(CIO)の設置なども検討すべきです。
また、情報漏洩や滅失などは、組織として完全なものとするためには個人の資質や注意力だけに頼るのではなく、考えるうる問題点を徹底的に洗い出してシステムとして確立することが不可欠だと思います。
セキュリティや安全対策は、時間もお金もかかりますが決しておろそかにしてはいけないものです。一方で、限られた人材・財政で行わなければならないことから、費用対効果についても無視することはできません。
JR福知山線の脱線事故の教訓として、利益や利便性といったものよりも、安全・安心が最も基本的で大切なことだという意識を定着させていかなければなりません。
以上のことを踏まえつつ、次回より自治体における情報化推進政策について考えていきたいと思います。
当ブログでも少し取り上げていますが、インターネットを閲覧するだけで感染するウイルスが仕込まれていたり、ウイルス感染を防止するためのソフトが原因でコンピューターが作動しなくなったりする事件が身近に起こるようになるなど、不安要因がものすごく多くなってきています。
また、パソコンや記録媒体の盗難・情報の流出による個人情報の漏洩事件も後を絶ちません。
そうした中で、インターネットのセキュリティ対策は勿論のこと、「情報を取り扱う人間の脆弱性に配慮したアクセス制御や行動基準の整備、社内文書の流出やハードウェアの盗難、紛失などの防止といった物理的な要因も考慮して情報セキュリティの保全に取り組む必要がある。」(CyberGovernment Online)との認識が必要になっています。
自治体での対策
自治体の情報化推進を考えていく際には、それがもたらす有効性を語ると同時にセキュリティ対策のありようを明確にし、実際の運用の中でそれを完全に実施することが求められています。
全国の自治体では、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(総務省:平成15年3月18日)をベースにセキュリティポリシーの策定が進みつつあるようです。▲PDFファイル▲
草津市でも、このガイドラインに基づき「草津市情報セキュリティ基本方針」(平成16年4月)が定められています。 ▲草津市HP▲
「草津市情報セキュリティ基本方針」では、セキュリティ対策の種類として次の5項目が掲げられています。
(1) 物理的セキュリティ対策
情報システムを設置する施設への不正な立入り、情報資産への損害および利用の妨害等から保護するための物理的な対策を講ずる。
(2) 人的セキュリティ対策
情報セキュリティに関する権限や責任および遵守すべき事項を明確に定め、職員等に対する周知および徹底を図るとともに、十分な教育・啓発が行われるよう必要な対策を講ずる。
(3) 技術的セキュリティ対策
情報資産を不正アクセス等から保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術的対策を講ずる。
(4) 運用等における対策
情報システムの監視、情報セキュリティ対策の遵守状況の確認等、本ポリシーの運用面における対策を講ずる。
(5) 緊急時におけるセキュリティ対策
緊急の事態が発生した場合に、迅速かつ適切な対応が可能となるような危機管理対策を講ずる
さらにこの計画に基づき、「情報セキュリティ対策基準」や「情報セキュリティ実施手順」が定めるとされています。 (これには、詳細なセキュリティ対策が示されているので、公開すると手の内をすべてさらけ出してしまうことから、非公開とされています・・・納得。)
セキュリティ対策の検証
セキュリティ対策は、万全を期してもそれを破ろうとする悪意ある人たちが存在する以上、必ずセキュリティホールが見つけられたりするものです。というか、むしろセキュリティーが高ければ高い程、それを崩すことに喜びを覚えるようなクラッカーの存在があることを忘れる訳にはいきません。
情報の漏洩や滅失などは、被害を受けて初めて事の重大性が認識されますが、これでは後の祭りです。
このことから、定期的な監査や運用を常に見直していくことが必要です。
昨今、軍事部門までも含めて民間委託が進んでいますが、信頼性の根幹に関わる重要な部分については自分たちで完全なものにするノウハウや人材育成が必要ではないでしょうか。そうした意味では、最高情報統括責任者(CIO)の設置なども検討すべきです。
また、情報漏洩や滅失などは、組織として完全なものとするためには個人の資質や注意力だけに頼るのではなく、考えるうる問題点を徹底的に洗い出してシステムとして確立することが不可欠だと思います。
セキュリティや安全対策は、時間もお金もかかりますが決しておろそかにしてはいけないものです。一方で、限られた人材・財政で行わなければならないことから、費用対効果についても無視することはできません。
JR福知山線の脱線事故の教訓として、利益や利便性といったものよりも、安全・安心が最も基本的で大切なことだという意識を定着させていかなければなりません。
以上のことを踏まえつつ、次回より自治体における情報化推進政策について考えていきたいと思います。
