総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは、総務省が都道府県および市区町村など各地方公共団体向けに情報セキュリティポリシーの策定や見直しを行う際の参考として、情報セキュリティポリシーの考え方及び内容について解説したガイドラインです。
各地方公共団体が自らのセキュリティポリシーを作成する際の参考書となる位置付けとして存在していて、各自治体が個々に情報セキュリティについて独自の取り組むことが難しくなっていることに加えて、デジタル庁が構築するガバメントクラウドへの移行についても新たな課題となっている背景もあり、必ず目を通しておくべき情報セキュリティガイドラインの1つとなります。
※『総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」』に関して、本コラムでは略称として「総務省 情報セキュリティポリシーガイドライン」という表記もさせて頂きます。
地方公共団体はガイドラインを参考にしてセキュリティポリシーを策定する
出典:総務省 地方公共団体情報セキュリティ対策の経緯について
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」を読み解くためのポイント
「地方公共団体における情報セキュリティポリシーに関するガイドライン」は総務省から広く公開されているガイドラインとなり、民間企業や団体など法人・個人にも幅広く活用できるガイドラインとなります。
総務省は日本全国の基本的な仕組みから、国民の経済・社会活動に関わる諸制度を担う省庁となるため、私たち自身が暮らしている地方公共団体がどのような方向性で情報セキュリティに取り組んでいるのかを理解する意識で読み解いていきましょう。
私たちに関わる情報セキュリティがどのように守られているのかを意識しながら読んでいくと、身近な話題として感じることでき読み解きやすくなります。
「総務省 情報セキュリティポリシーガイドライン」の歴史
総務省から情報セキュリティポリシーガイドラインがリリースされたのは2001年度となります。
その後もさまざまなセキュリティの課題などを教訓に改定が進み、時代に沿ったガイドラインに改定されて続けています。
平成27年にマイナンバー法およびサイバーセキュリティ基本法の内容を反映し、平成30年の改定では日本年金機構における情報流失事案を受けて、セキュリティを強化したいわゆる「三層の対策」(三層分離の対策とも言う)がガイドラインに反映されました。
しかしながら、「三層の対策」は厳しいセキュリティ対策を求めたもので、地方公共団体の現場の業務の利便性を欠いてしまう課題が出てきました。
時代は、働き方改革やインターネットを活用したテレワーク、新型コロナウイルスの蔓延などのパンデミックもあり、当初求められた「三層の対策」もセキュリティと利便性のバランスを考える必要がでてきました。
さらにここ数年で、デジタル庁の発足をきっかけとして、国の行政機関や地方公共団体がガバメントクラウドへの移行も必要とされてきた背景があり、地方公共団体を取り巻く情報システムおよび情報セキュリティの変化は急速に変化しつつあります。
| 改定時期 | 改定内容・理由 |
|---|---|
| 平成27年3月 | 「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」 「サイバーセキュリティ基本法」の成立等の内容を反映 |
| 平成30年9月 | 平成27年の日本年金機構における情報流出事案を受け、総務省から地方公共団体へ要請を行った 「三層の対策」等の情報セキュリティの抜本的強化策の内容を反映 |
| 令和2年12月 | 「三層の対策」の効果や課題、新たな時代の要請を踏まえ、セキュリティの確保と効率性・利便性向上の両立の観点から、情報セキュリティ対策の見直しを実施し、その内容を反映 |
| 令和4年3月 | 令和3年7月の「政府機関等の情報セキュリティ対策のための統一基準郡」の改定や地方公共団体のデジタル化の動向を踏まえた内容を反映 |
出典:総務省 地方公共団体情報セキュリティ対策の経緯について
-
【総務省セキュリティポリシーガイドライン改定ポイント解説書を公開】
ポイントを分かりやすく解説した「総務省 地方公共団体情報セキュリティポリシーガイドライン改定ポイント解説書」を提供しております。
令和5年3月の改定ポイント
令和5年3月の「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定ポイントの全体像は、総務省地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会で配布されている内容が公開されています。
今回のコラムでは下記の赤字部「クラウドサービス」と「情報資産の分類と管理」を改定ポイントとして取り上げて紹介します。
第1章 本方針の目的
- ガイドラインの次期改定において、記載予定の事項を方針として記載
第2章 本方針の範囲
- 地方公共団体がマイナンバー利用事務系のシステムを含む情報システムをクラウドサービス上で整備及び運用する場合を範囲として講ずるべき情報セキュリティ対策せを整理
第3章 本方針の構成
- クラウドサービスの提供や利用に関する情報セキュリティの国際規格(JISQ27017)に基づき、具体的な情報セキュリティ対策を記載
第4章 情報セキュリティ対策
- 組織体制
- クラウドサービス利用時の組織体制の構築、インシデント発生時の連絡体制の確認の必要性を記載
- 情報資産の分類と管理
- ライフサイクルに応じた情報資産の取扱いの明確化
- 暗号化消去について、データ消去の方法の一つとして記載
- 情報システム全体の強靭性の向上
- クラウドサービス上でのマイナンバー利用事務系等の取扱いを記載
- マネージドサービス等を利用する場合の考え方を記載
- 物理的セキュリティ
- クラウドサービスの装置等の廃棄方法の確認等について記載
- 人的セキュリティ
- クラウドサービス利用時の職員等の意識向上、教育及び訓練について記載
- 技術的セキュリティ
- クラウドサービス利用時のバックアップの留意点、クラウドサービス内のネットワークの分離、アクセス制御、仮想環境におけるセキュリティ対策や構成管理、脆弱性管理等の整理の必要性について記載
- 運用
- ログの取得、監視、緊急時対応計画の必要性について記載
- 業務委託と外部サービスの利用
- クラウドサービスに関連する情報セキュリティの役割及び責任を定めたサービス合意書の締結について記載
- 評価・見直し
- サービス選定時のみならず、評価・見直しの段階での監査報告書において確認する必要性について記載
参考:総務省地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会
【改定ポイント1】クラウドサービスへの対応
・JIS Q 27017クラウドサービスにも対応
JIS Q 27001※1に加えて、 JIS Q 27017※2の対策を取り入れて、クラウドサービスの利用にも対応したガイドラインに改定されています。
地方公共団体のサーバーやストレージ、ネットワークやアプリケーションなどの情報システムはオンプレミス環境が中心として構築・運用されていました。
ここ数年は、一部のクラウドサービスの利用については、LGWAN※3の一部が特定の通信は可能であったり、インターネット接続系が自治体情報セキュリティクラウドを経由することでインターネット接続が許可されたりしていましたので、これまで以上にインターネットを経由したクラウドサービスにも対応が進んでいると言えます。
参考:サイバーセキュリティに関する基準及び地方公共団体の情報システムのクラウド利用等に関する情報セキュリティポリシーガイドライン改定方針のポイントについて
※1 JIS Q 27001(ISO/IEC 27001)とは、ISMS(情報セキュリティマネジメントシステム)とも呼ばれ、情報セキュリティマネジメントの要求事項を定めた規格です。
※2 JIS Q 27017(ISO/IEC 27017)とは、クラウドサービスのための情報セキュリティ管理策のための規格です。
※3 LGWANとは、総合行政ネットワークの略名で、行政機関専用のコンピュータネットワークのことです。
・地方公共団体とガバメントクラウドの関連性
ガバメントクラウドとは、デジタル庁が用意する政府や地方公共団体の向けのクラウドサービスのことです。
これまでは、各地方公共団体が構築・運用管理・保守を行っていたために、地方公共団体ごとにセキュリティを含む様々な課題があり、負担になっていました。
このガバメントクラウドにより、迅速かつ柔軟にITインフラを準備し、共通化されたアプリケーションを使用してすることが可能であり、結果として私たち国民一人一人にもその恩恵が得られるはずです。
「地方公共団体情報システムの標準化に関する法律」が成立されたこともありガバメントクラウドが進んでいますが、今後は地方公共団体が情報システムを個別に対応するのではなく、デジタル庁が進めているクラウドサービスであるガバメントクラウドの利用が義務づけられました。この法律は令和3年9月1日から施行されています。
地⽅公共団体は、国によるクラウドの環境整備の状況を踏まえてクラウドサービスを使用していくように努める必要があります。
2025年度までに、ガバメントクラウドを活用した標準準拠システムへ移行を目指す
出典:デジタル庁 地方公共団体情報システム標準化基本方針の概要
・ガバメントクラウドを使用した場合の情報システムのイメージ例
ガバメントクラウドを使用する際、インターネットを利用する場合に関して、ガイドラインでは以下のような記載があります。(一部を抜粋して引用)
マイナンバー利用事務系と他の領域との分離
マイナンバー利用事務系と外部との通信をする必要がある場合は、通信経路の限定(MAC アドレス、IP アドレス)及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行わなければならない。また、その外部接続先についてもインターネット等と接続してはならない。
例えば、マイナンバー利用事務系は他の領域と通信できないようにしなければなりませんが、修正プログラムの適用やウイルス対策ソフトなどの必要な通信については、通信先を限定して使用することが可能となっていると読み取れます。
インターネット経由による標準準拠システム等の修正プログラム適用、ウイルス対策ソフトのパターンファイル更新等のイメージ
出典:総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン
・ガバメントクラウド対象クラウドサービス
ガバメントクラウド対象のサービスは、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure、Oracle Cloud Infrastructureがあります。
ガバメントクラウドを使用することで、2018年度比で少なくとも3割のコスト削減を目指すとしています。
なお、デジタル庁では「地方公共団体が利用する標準準拠システム等の整備及び運用に当たっては、総務省が作成する地方公共団体における情報セキュリティポリシーに関するガイドラインを参考にしながら、セキュリティ対策を行うものとする。」としていて、「地方公共団体における情報セキュリティポリシーに関するガイドライン」とデジタル庁の方向性は密接に関わっているため、総務省の情報セキュリティポリシーガイドラインは重要性が高まっていると言えます。
【改定ポイント2】情報資産の廃棄と改定ポイント
・「情報資産の廃棄」のポイント
情報資産の廃棄では、サーバーやパソコン等のHDDやSSDなどの重要情報が保管されている情報資産を、最終的に廃棄やリース返却する際のポイントがガイドラインにまとめられています。
「情報資産の廃棄」の項目もここ数年で改定が進んでいます。理由は私たちの生活にも身近になっている情報漏洩の課題があるためです。
情報漏洩は、様々な要因により発生する可能性はありますが、PCやサーバー等のディスクに保存された重要なデータは、運用中だけでなくIT機器の利用終了後の廃棄やリース返却時においても情報漏洩が発生するリスクを秘めているため、導入・運用中・運用後などライフサイクル全体に応じた情報資産の取り扱いが注視されています。
・「情報資産の廃棄」改定のきっかけ
地方公共団体における情報セキュリティポリシーに関するガイドラインで、「情報資産の廃棄」の項目が大きく取り上げたきっかけのひとつが、2019年に発生した神奈川県HDD転売・情報流出事件です。
神奈川県で使用していたサーバーの運用終了後、情報漏洩対策のためにハードディスクのフォーマット(初期化)をしてリース業者に返却し、その後消去業者にハードディスクの物理破壊を委託していましたが、結果としてハードディスクがインターネット上で販売され、データ復元ソフトウェアと呼ばれる特殊なソフトを利用したところ、神奈川県の公文書と思われるファイルやデータが発見されたという事件です。(詳細は神奈川県庁および関連各社のサイトをご確認ください。)
神奈川県HDD転売・情報流出事件の概要
・フォーマットではデータは消えない
この事件では幾つかの問題がありますが、ここで取り上げたい1つのポイントとしては、一番初めに神奈川県ではハードディスクのフォーマット(初期化)を実施してデータ消去しているにも関わらず、ファイルやデータが発見されたという点です。
PCやサーバー等のIT資産のデータ消去を行う場合には、ファイルやフォルダの削除、ゴミ箱を空にする、OSのフォーマットなどの初期化では、復元が可能なデータ消去となってしまうため、総務省では「復元困難な消去」を求めています。
ファイルやフォルダの削除、ゴミ箱を空にする、OSのフォーマットなどは、「データ本体」を消去するわけではなく、データを呼び出すための「データの管理情報」を消去するだけで「データ本体」は残り、復元困難な消去ではありません。
復元困難な消去とは、本で例えると目次だけでなく内容までデータを消去するということです。本の目次だけを消去・削除しても、内容が残っていては市販のデータ復元ソフトを使用することでデータの復元が可能になってしまいます。
フォーマットについても、この本の例のように目次だけを削除して、あたかもデータが消えているかのような技術となっています。
総務省のガイドラインの復元困難な消去とは
・「情報資産の廃棄」で求められていること
「情報資産の廃棄」で求められていることを一部引用してご紹介します。
【情報資産の管理】
(ア)情報資産の廃棄やリース返却等を行う者は、情報を記録している電磁的記録媒体について、その情報の機密性に応じ、情報を復元できないように処置しなければならない
「情報資産の廃棄等」について、これまでは「廃棄」というキーワードが記載されていましたが、「リース返却」についても明記されるようになっています。
PC、サーバー、ストレージなどの情報資産は、利用者が購入して資産として保有することもありますが、リースやレンタル会社を利用することも多くあります。
リースの場合は、情報資産を保有しているわけではありませんので、運用終了時にIT資産は破壊せずに返却する必要性があります(追加契約などを除く)。
先ほどの神奈川県の事例のように、電磁的記憶媒体について最終的に情報を復元できないように、情報資産に残っている機密性のある重要データは、使い終わったらしっかりとデータ消去をしなければ、情報漏洩事故が発生する可能性があります。
(イ)情報資産の廃棄やリース返却等を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。
情報資産の廃棄やリース返却等では、いつ・だれが・どのようにデータを消去したのかを記録しなければならないことになります。
この一文からは、データ消去だけすれば良いのではなく、例えば、データ消去証明書などを発行して記録を残す対応が推奨されていることが分かります。
(ウ)情報資産の廃棄やリース返却等を行う者は、情報セキュリティ管理者の許可を得なければならない。
情報資産は勝手に処分することは許可されません。必ずIT管理者に確認と許可を得てから対応するようにしましょう。
・IT資産の廃棄・リース返却時の3つのポイント
総務省 情報セキュリティポリシーガイドラインのポイントをまとめると、以下の点を抑える必要があります。
- IT資産はデータ消去を行い、復元困難な状態にする
- データ消去後は復元ツールを使用しても元のデータが読めないようにする
- データ消去の結果を記録や証明できるように記録を残す
・データ消去の方法は3種類
一般的なデータ消去の方法としては、「ソフトウェア消去・磁気消去・物理破壊」の3つの方法があります。
データ消去方式の比較
| 項目 | ソフトウェア消去 | 磁気消去 | 物理破壊・粉砕 |
| 消去方式 | 上書き消去 | 強磁界による消去 | 専用機で破壊・粉砕 |
| 消去レベル | 消去(Clear) | 除去(Purge) | 破壊(Destroy) |
| 対象例 | 企業全般 | 企業・官公庁など | 官公庁マイナンバー等 |
| HDD | 〇 | 〇 | 〇 |
| SSD | 〇 | × | 〇 |
|
リース返却対応 |
〇 | × | × |
IT資産の廃棄やデータ消去というと、一般的に物理破壊や破砕をするイメージがありますが、SDGsなど持続可能な社会を求める時代の流れとして、すべてのIT機器を物理破壊していては世の中に逆行します。
ガイドラインでは、機密度によりそのデータ消去方法を定めており、マイナンバーなどの機密度が高い情報は最終的に物理破壊(分解・粉砕・溶解・焼却・細断など)を行い、それ以外のデータについては物理的な方法による破壊を含め、ソフトウェア消去や磁気消去を含むデータ消去方式なども含めた記載があります。
ソフトウェア消去であればリースやレンタル機器のディスクでも復元困難な消去が可能ですし、再利用でき環境にも配慮することができます。
なお、今回の改訂ではマイナンバー利用事務系の領域において住民情報を保存する記憶媒体の廃棄について、これまで求められていた職員による立ち会いについては、カメラによるリアルタイムでの監視やカメラ映像の記録の確認などで代替できるようになっています。
・ガイドラインのクラウドサービス対応とIT資産の廃棄
クラウドサービスの利用時にもIT資産の廃棄・リース返却時の対応についてガイドラインで記載があります。
これまで機器の廃棄についての記載はありましたが、クラウドサービス事業者における観点が具体的にはありませんでした。
今回の改定で、このクラウドサービス事業者における機器廃棄が言及されはじめたことを抑えておく必要があります。
②クラウドサービス事業者が利用する資源(装置等)の処分(廃棄)をする者は、セキュリティを確保した対応となっているか、クラウドサービス事業者の方針及び手順について確認しなければならない。
なお、当該確認にあたっては、クラウドサービス事業者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用する必要がある。
クラウドサービスの機器の廃棄についても、適正に処分することが求められており、提供可能な第三者による監査報告書や認証を利用することが必要との記載があります。
装置等の資源が適切に処分されることをクラウドサービス事業者の方針及び手順が組織やシステムが求める基準を満たしているか確認することが重要である。
クラウドサービス利用者は、クラウドサービス事業者に対して、適切にデータ消去を実施していることを確認することが重要となってきています。
利用者側が直接装置等の資源に対して情報の抹消や破壊を行うことが一般には難しいクラウドサービスにおいては、監査報告書や媒体・装置の「廃棄証明書」等を入手して確認することが考えられる。
クラウドサービスを利用している場合にも、これまで情報機器の廃棄で求められてきたデータ消去証明書などで確認することが記載されています。
廃棄証明書(データ消去証明書)とはなにか
ガイドラインで記載のある「廃棄証明書」について少しご解説します。
最近では、廃棄証明書(データ消去証明書と次項より表示)の必要性が高まっているため、ガイドラインに記載が追加されたと考えられます。
データ消去証明書とは、情報機器に搭載されるHDDやSSDなどに保存されたデータが、適切な消去方式で消去が実行されたことを証明するものです。
データ消去証明書は、データ消去ソフトウェアやデータ消去事業者自身が発行するデータ消去証明書が一般的ではありましたが、最近注目されているのが、第三者機関が発行するデータ消去証明書です。
Webサイト例えるならば、「自己証明の問題」に突き当たるためと考えられます。
データ消去事業者やクラウドサービスの事業者にデータ消去を依頼して証明書を依頼する場合、IT資産のデータ消去が行われた場合のデータ消去証明書が本当に信頼できるものなのか?本当にデータ消去は実行されたのか?など、本質的な課題を抱えています。
この課題を解決するために、中立的な組織である第三者機関がデータ消去証明書を発行できる仕組みを提供しています。
暗号化消去とは何か?
・暗号化消去とは何か?
最近では暗号化消去と呼ばれるデータ消去方式も注目されています。
総務省のガイドラインを良く見てみると、コメントとしては小さいですが下記の記載があります。
※ 情報資産を廃棄する際は、データ消去の方法として暗号化した鍵(暗号鍵)を削除することにより、 情報資産を復元困難な状態とする方法が考えられるが、ガバメントクラウドにおける暗号化消去の対応については、引き続き検討し、地方公共団体に提示予定。
上記を読み解く限り、今後はガバメントクラウドなどを含むクラウドサービスについてのデータ消去方法の1つとして、暗号化消去が検討されていることがわかります。
・暗号化とは
暗号化とは、あるデータを第三者に見られたく無い場合に行う情報漏洩対策の1つの技術です。
暗号化消去を理解する前に、暗号化と復号について理解する必要があります。
| 項目 | 何をする |
| 目的 | 第三者に盗み見られないようにする情報漏洩対策 |
| 暗号化 | 元のデータに対して、別のデータに変換する処理のこと |
| 復号 | 暗号化されたデータを元のデータに戻す処理のこと |
・暗号化消去CE(Cryptographic Erase)の仕組み
暗号化消去CE(Cryptographic Erase)では、暗号化済の領域にデータが保存されていることが前提でのデータ消去方式となります。
暗号化された情報を元に戻すことを復号と呼びますが、この復号に使用する「鍵」を抹消することで、情報の復号を不可能にする論理的なデータ削除方法と言えます。
暗号鍵(回復用)を消去すれば、クラウドサービスなどで使用される大容量のデータでも高速にデータへのアクセス手段を防止できることになります。
暗号鍵を消去することにより、現実的には復号が不可能になります。
暗号鍵だけを消去するので、暗号化されたデータはそのまま残るという点は理解する必要があります。
暗号化消去の仕組み
暗号化消去のメリット
・暗号化消去の課題
クラウドサービスの暗号化消去は総務省が今後検討するとしており、現実ではどのタイミングで具体的に述べられるかはまだわかりません。
理由として、暗号化消去と暗号化消去の証明についての検討課題が多いのだと思われます。
例えば、下記のような課題があると言われています。
- すべての暗号鍵を抹消する必要がある。
- 暗号鍵が残っていると復号される可能性がある。
- 暗号鍵を適切に保管しておく必要がある。
- データが保存される領域は、データが書き込まれる前に暗号化されていなければならない。
- 暗号鍵を消去しても、すべての暗号鍵が消去できたとどう証明するのか
- 暗号鍵の複製や改ざんに対する課題
暗号化消去技術についての技術や課題については、ADEC(データ適正消去実行証明協議会)がデータ消去技術ガイドブック(暗号化消去技術編)を公開しており非常に参考になります。
また、暗号鍵消去の実証実験についても、長野県塩尻市の自治体で行った事例がありますので併せて記載しておきたいと思います。
(長野県塩尻市の事例)
全国初、長野県塩尻市における総務省セキュリティポリシーに準じたクラウドストレージの暗号化鍵消去実証実験で、正常な運用を確認
暗号化消去および暗号化消去の証明の技術的な進化について、今後期待しつづけたいと思います。
まとめ
『総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」』の改定内容について、ガバメントクラウドをはじめとするクラウドサービスや、IT資産の廃棄について可能な限りわかりやすくかつ詳細にまとめてみました。
はじめにもご紹介したとおり、地方公共団体向けではありますが、総務省が公開していることもあり、民間企業などでも十分に参考となる情報セキュリティのガイドラインです。
ぜひ、皆さまも総務省のページよりダウンロード頂き、ご一読してみてください。
なお、「地方公共団体における情報セキュリティ監査に関するガイドライン」についても併せて改訂されています。
今回のコラムは長文となりましたが、最後までお読み頂いた方には感謝申し上げます。
地方公共団体における情報セキュリティポリシーに関するガイドラインのダウンロードはこちら
追記
政府はガバメントクラウドの自治体システムの以降について、当初は2025年末までの以降を要求していましたが、様々な理由から方針を修正して、移行期間について柔軟に対応する事も認めるというニュースも主要なメディアから出てきています。今後のガバメントクラウドの移行については適時デジタル庁のホームページなど、最新情報を確認するようにご注意ください。
【ワンビ株式会社について】
ワンビ株式会社は、「私たちが情報漏洩を守る」という企業理念のもと、さまざまな情報漏洩対策の製品やサービスを提供しています。
PCやサーバーの情報漏洩対策についてお悩みの方、ホワイトペーパーなどの資料についてもWEBサイトからダウンロードが可能です。
是非お気軽にワンビのホームページからお問い合わせください。
-
【総務省セキュリティポリシーガイドライン改定ポイント解説書を公開】
ポイントを分かりやすく解説した「総務省 地方公共団体情報セキュリティポリシーガイドライン改定ポイント解説書」を提供しております。
この記事を書いた人
ワンビ株式会社
セキュリティエバンジェリスト 井口 俊介
高等専門学校卒業。大手企業のミッションクリティカルシステムのアカウントサポートを担当。
その後プロジェクトマネージャーにてITインフラの導入に携わる。
2020年からワンビ株式会社でエンドポイントセキュリティのプリセールスとして従事。営業技術支援、セミナー講演、コラムの執筆など幅広くセキュリティ業務に携わる。