情報セキュリティの始め方・大切さ #2

情報セキュリティの始め方・大切さ #2

情報セキュリティの始め方・大切さ #1の続きです。こちは情報セキュリティに対する基本方針をご紹介し、実際の情報セキュリティに対して、概念的に理解を深める記事となります。

情報セキュリティ推進体制の整備

情報セキュリティポリシーでは、情報セキュリティ推進体制を定めることになります。例えば、CISO(最高情報セキュリティ責任者)を設置し、情報セキュリティ推進部門を設置するとともに、子会社をはじめとして各部門に情報セキュリティ責任者・担当者を配置するようにします。こうした体制を活用して、情報セキュリティ教育を実施したり、情報機器や媒体の点検を実施したりします。

近年、サイバー攻撃が問題になっていますが、サイバー攻撃対策も情報セキュリティの範囲に含まれるので、情報セキュリティ教育には当然のことながらサイバー攻撃に関する事項も含まれることになります。なお、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、情報セキュリティポリシーの基本的事項を規定する形式(情報セキュリティ基本方針)を公表しているので、参考までに示しておきます。

また、サイバー攻撃が発生した場合に、迅速かつ全社一元的な対応を行えるように、CSIRT (Computer Security Incident Response Team)を設置する企業が増えています。 CSIRT とは、コンピュータやネットワーク上で問題が起きていないかどうかを監視するとともに、万が一、問題が発生した場合にその原因解析や影響範囲の調査を行なう組織(チーム)のことで、サイバー攻撃に適切かつ迅速に対応するためには、このまた、CSIRTは、日ごろからサイバー攻撃に関する情報を収集したり、他の組織体のCSIRT との連携を図って必要な対策を講じたりする役割をCSIRT が不可欠となります。

1 目的

基本方針は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2 定義

(1) ネットワークコンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。

(2) 情報システムコンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。

(3) 情報セキュリティ情報資産の機密性、完全性及び可用性を維持することをいう。

(4) 情報セキュリティポリシー本基本方針及び情報セキュリティ対策基準をいう。

(5) 機密性情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(6) 完全性情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(7) 可用性情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

3 対象とする脅威

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい·破壊·改ざん·消去、重要情報の詐取、内部不正等

(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計。開発の不備、プログラム上の欠陥、操作·設定ミス、メンテナンス不備、内部·外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい·破壊·消去など

(4) 大規模·広範囲にわたる疾病による要員不足に伴うシステム運用の機能

(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

4 適用範囲

(1) 行政機関の範囲本基本方針が適用される行政機関は、内部部局、行政委員会、議会事務局、消防本部及び地方公営企業とする。

(2) 情報資産の範囲本基本方針が対象とする情報資産は、次のとおりとする。

①ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体

②ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

③情報システムの仕様書及びネットワーク図等のシステム関連文書。

5 職員等の遵守

義務職員、非常勤職員及び臨時職員(以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

6 情報セキュリティ対策

上記3の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

(1) 組織体制本市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。

(2) 情報資産の分類と管理本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。

(3) 物理的セキュリティサーバ等、情報システム室等、通信回線等及び職員等のパソコン等の管理について、物理的な対策を講じる。

(4) 人的セキュリティ情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。

(5) 技術的セキュリティコンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

(6) 運用情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。

7 情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

8 情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

9 情報セキュリティ対策基準の策定

上記6、7及び8に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

10 情報セキュリティ実施手順の策定

情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。なお、情報セキュリティ実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

なお、米国では、サイバーセキュリティ責任者を設置する企業もあります。IoT(Internet of Things: モノのインターネット)といった新しいICTの発展に伴って、サイバー攻撃も複雑化している状況に対応するために、このような新しいポストを設置しているのです。

セキュリティカテゴリの最新記事