情報セキュリティーの強化について：1.セキュリティーポリシー

今回は、静岡県の情報セキュリティについて、お話ししたいと思います。

静岡県がコンピュータを業務に利用し始めた歴史は古く、使い始めたのは1967年、給与計算、統計処理、自動車税や個人事業税、そして会計事務のシステム化を開始しました。その後、コンピュータシステムのネットワーク化や、大型計算機からパソコンへ、さらにクラウド化へと常に時代に合わせ、業務の効率化や省力化、仕事のやり方も変えてきました。

そのような中で、情報セキュリティへの意識も対応も進化してきています。

平成16年7月には、「静岡県情報セキュリティポリシー」を定め、以降、順次必要事項を改定して参りました。

情報セキュリティポリシーは一般的に、情報資産に対するセキュリティの統一かつ基本的な考え方「基本方針」と、基本方針を実行に移すために何をしなければならないかを記載した「対策基準」で構成され、各自治体や企業などが整備するものです。

つまり、「静岡県情報セキュリティポリシー」は、静岡県が考える・行う情報セキュリティへの対応のバイブルとなります。

静岡県の情報セキュリティー対策基準には、情報資産を始め、ネットワークなどの用語の定義から、情報資産に対する脅威について、例えば、不正アクセスやウイルス攻撃、サイバー攻撃をはじめ、情報資産の漏洩や破壊、改ざんや内部不正など、こと細かく規定されています。

また、職員の遵守義務の記載を始め、情報セキュリティ対策についても、全庁体制から、情報資産の重要性に応じたセキュリティ対策を行うことや、情報資産の管理に関する物理的な対策や技術的な対策に加え、職員等への十分な教育や啓発を行うことまで規定されています。

以下の表は、物理的セキュリティ対策、人的セキュリティ対策、技術的セキュリティ対策について、県が行っていることをまとめたものです。

「情報資産への脅威の第6位は内部不正となっている」という記事を見たことがありますが、人的セキュリティ対策における、繰り返しの研修や情報セキュリティポリシー等の遵守状況の確認の実施は、非常に重要な対策の一つであると思っています。

項目	対策
物理的セキュリティ対策 （設置室不正立入規制、地震時対応）	サーバ管理区域の管理 不正な立入り防止 重要機器は免震構造の専用室に設置（非常用発電装置有） 機器の管理 電磁的記録媒体の廃棄時には全てのデータの削除又は物理的破壊 職員等の利用する端末の盗難防止 重要データのバックアップ
人的セキュリティ対策 （研修実施、啓発、実地指導等）	研修・啓発 新規ユーザー研修、情報セキュリティ研修 定期的な情報発信（電子掲示板） 個人情報保護や情報セキュリティを実地指導
技術的セキュリティ対策 （情報資産を不正なアクセスから保護）	コンピュータ及びネットワークの管理 アクセス記録保存 庁内情報ネットワークの3層分離の徹底（マイナンバー系、業務系、インターネット系） アクセス制御 認証情報とパスワードの適切な管理 不正アクセス対策 不正侵入防止やウイルス対策ソフトによる感染防止

人的セキュリティ対策の重要性は、記載したとおりですが、不正をできなくしてしまう技術的な対策も更に重要となります。

外部からのサイバー攻撃などについては、やはり一番危険性が高いのが、インターネット系につながった情報資産です。行政機関では、一般的に業務系のパソコンがインターネット系と切り離されて運用されており、サイバー攻撃による被害をできるだけ受けないようにしています。

技術的セキュリティにある庁内情報ネットワークの3層分離の徹底により、そのような構成になっているのですが、このことについては、次の機会に詳しく説明します。

今回は、ここまでです。