ブログ
- 2023/04/21
3分でわかる!「地方公共団体における情報セキュリティポリシーに関する
ガイドライン」改定のポイントを解説!<2023年3月最新版>
こんにちは、デジタルアーツ株式会社「FinalCode」製品担当です。
総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン」(以下、「自治体ガイドライン」)が2023年3月に改定されましたが、ボリュームが多く、じっくり読む時間がないという方もいらっしゃるのではないでしょうか。
本記事では、2023年3月の改定のポイントについてわかりやすく解説しておりますので、
おおまかな改定内容を知りたい方や、地方公共団体のセキュリティ対策に携わっている方は、ぜひご一読ください!
3つの改定ポイント
今回のガイドラインにおける改定のポイントは、主に以下の3つです。
1.標準準拠システムなどのクラウドサービス利用に対応したセキュリティ対策
2.外部委託先管理の運用面に関するセキュリティ対策
3.昨今のサイバー攻撃に対するセキュリティ対策
それぞれ解説していきます。
1.標準準拠システムなどのクラウドサービス利用に対応したセキュリティ対策
この改定の背景には、2022年10月に閣議決定された「地方公共団体情報システム標準化基本方針」があります。現在は自治体により異なる行政システムが利用されていますが、この基本方針により、2025年度末までにデジタル庁が整備するマルチクラウドである「ガバメントクラウド」を活用した標準準拠システムへの移行が決定されました。
また、本方針において「地方公共団体が利用する標準準拠システム等の整備及び運用に当たっては、地方公共団体における情報セキュリティポリシーに関するガイドラインを参考にしながら、セキュリティ対策を行うものとする」とされたため、この記述に対応するセキュリティ対策について、自治体ガイドラインに追記することとなりました。
上記の背景により、ガイドラインの構成は以下のように変更され、クラウドサービスの特徴や選定・運用時の留意点などが追記されています。
2.外部委託先管理の運用面に関するセキュリティ対策
情報のライフサイクル全般での管理やサーバールーム入退室管理の徹底、委託先によるセキュリティチェックシートの提出など、より厳格な外部委託先管理が求められるようになりました。
この改定の背景には、2022年6月に発生した某自治体による個人情報流出事件が大きく影響しています。業務委託会社の再委託先の社員が、全市民の住民基本台帳の情報約46万人分をUSBメモリーにコピーして持ち出し紛失してしまったこの事件は今回の改定にも大きな影響を与え、外部へ重要な情報を運搬する場合はアクセス制御や暗号化を実施する、運搬された後の情報の管理を徹底するなどの対策例が追記されました。
3.昨今のサイバー攻撃に対するセキュリティ対策
近年における感染被害の拡大を受け、Emotet(エモテット)、ランサムウェア、フィッシングなどサイバー攻撃の特徴や対策例が追記されました。
名称 | 特徴 | 対策例 |
---|---|---|
Emotet(エモテット) | 悪意のある者により不正なメールに添付されるなどして、感染の拡大が試みられているマルウェア。「正規メールへの返信を装う」手口が使用される場合があり、受信者が違和感を抱かないよう工夫されている。 |
|
ランサムウェア |
「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語。 |
|
フィッシング |
公的機関や金融機関など、実在する組織や個人になりすました攻撃者がメールやSMS を送信し、正規のウェブサイトを模倣した偽サイトに誘導させることで、認証情報、ATMの認証番号、クレジットカード番号といった機密情報を詐取する攻撃手法。 |
|
◆「地方公共団体における情報セキュリティポリシーに関するガイドライン 第3編 第2章 6.4. 不正プログラム対策」の内容をもとにデジタルアーツが作成
以上3つが、自治体ガイドラインにおける改定のポイントとなります。
デジタルアーツでは、本ガイドラインに記載されている対策を実現する国産のWeb・メール・ファイルセキュリティ製品をご提供しており、地方公共団体における導入実績も非常に豊富です。同製品クラウド版は「政府情報システムのためのセキュリティ評価制度(ISMAP)」に登録されているため、セキュリティ面でも安心してご利用いただけます。 この機会に、ぜひご検討ください!
- <参考情報>
-
総務省「『地方公共団体における情報セキュリティポリシーに関するガイドライン』等の改定について」
https://www.soumu.go.jp/menu_news/s-news/01gyosei07_050328.html -
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン改定のポイントについて(1)(クラウド利用関係)」
https://www.soumu.go.jp/main_sosiki/kenkyu/chiho_security/02gyosei07_050112.html -
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン改定のポイントについて(2)(情報セキュリティインシデント関係)」
https://www.soumu.go.jp/main_sosiki/kenkyu/chiho_security/02gyosei07_050112.html -
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月発表)」
https://www.soumu.go.jp/denshijiti/jyouhou_policy/