総務省、自治体のセキュリティ対策を提言

15 8/24

 総務省は、地方自治体における情報セキュリティ強化のため、最高情報セキュリティ責任者(CISO)の設置など組織体制の強化やインシデント連絡ルートの多重化、インシデント即応体制の整備、インターネットのリスクへの対応など、緊急対策を打ち出した。同省がさきに設置した「自治体情報セキュリティ対策検討チーム」が中間報告としてまとめたもの。2016年度予算編成と絡めて、各自治体に実施を促していく。

 自治体情報セキュリティ対策検討チームは、マイナンバー制度の施行を半年後に控えた中で、日本年金機構における個人情報流出事案を受け、セキュリティの外部専門家で構成する作業組織として設置。7月から会合を3回開催し、標的型サイバー攻撃など新たな脅威への対応を中心に検討を重ねてきた。
 その結果、まず組織強化策として、一部自治体が設置しているCISOとともに、CISOを支え自治体の情報セキュリティ対策を推進する組織「CSIRT」の構築などが必要だとしている。
 また、インシデント対応体制を再確認し、発生時の国までの連絡ルートを、例えば市区町村から都道府県だけでなく総務省及び当該市区町村庁内にも同報する複数通知の多重化による再構築を求めている。
 併せて、緊急時対応計画の見直しと対応訓練を都道府県単位及び全国規模で逐次実施する必要があるとし、例えば標的型攻撃への対応として、プロキシサーバーをチェックし外部への不審な通信を事案発覚後6時間以内に調査し必要な連絡を行うよう求めている。
 特に標的型攻撃に対する対策徹底のため、入口対策として注意喚起(不審メールは届ける)や訓練メール、内部対策としてADログの定期的確認と管理者端末でのメール、Webブラウザー使用禁止、出口対策として不審な通信の確認(プロキシログ)の必要を指摘している。
さらに、インシデント即応体制の整備として、インシデント連絡ルートに沿って支援体制を再確認し、特に都道府県は、市町村などのインシデント発生時に即応体制の主体として事案対処にあたることを期待。

 報告書はこのほか、インターネットのリスクへの対策として、マイナンバー制度が施行されるまでに庁内の台帳システムの安全性を確認することや、システム全体の強靭性の向上、自治体情報セキュリティクラウドを検討することを求めている。