SAAJ近畿支部第196回定例研究会報告 (報告者:是松徹)

会員番号 0645 是松徹(近畿支部)

1.テーマ  『情報セキュリティと生産性が共存する環境づくり -福井県越前市事例紹介-』
2.講師    越前市 デジタル統括幹 竹中 忍氏
3.開催日時  2022年7月15日(金) 18:30~20:30
4.開催場所  ドーンセンター(大阪府立男女共同参画・青少年センター)5階セミナー室1

5.講演概要

講師が行政職の立場から越前市における情報セキュリティの環境づくりに長年取り組まれた中で、時代が変わっても基本は変わらないこと、手段と目的を混同しないこと等の会得されたポイントに焦点を当て、具体的な事例紹介を踏まえてご講演いただいた。今回は、情報セキュリティに関する実際の取組事例と言う発表内容のため、配布資料はなく、映写のみでのご講演となった。

(1)はじめに

・基礎自治体のネットワーク構成は、3層分離(①マイナンバー利用事務系、②LGWAN接続系、③インターネット接続系)の形態がとられており、基本は②のLGWAN接続系で業務を行うこととなる。これは、情報セキュリティ面に留意したネットワーク分離であるが、利便性が必ずしも保証されているわけではなく業務遂行上の制約ともなるため、組織としての方針をもって運用すべきと考えている。
・国から「地方公共団体における情報セキュリティポリシーに関するガイドライン」等が示されているが、改定が多く内容の把握に労力を要している。
・昨今、テレワーク、Web会議の利用拡大、クラウド志向等の潮流や脅威・脆弱性の増大、高度化等の環境変化が見られるが、その対応として、資産管理とエンドポイント対策が基本であることは変わらないとこれまでの取組を通してとらえている。

(2)技術的対策、物理的対策

・この約20年を振り返ると、計画的な情報セキュリティ強化と利便性向上に取り組んできた。
・早い時期から検疫ネットワークシステムや多重認証等の導入を行っている。
・情報セキュリティ強靭化に向け、ネットワークの3層分離(αモデル)への対応を完了している。
・生産性の確保とゼロトラスト志向の両立を目指し、3層分離において現状のαモデルからLGWAN接続系のシステムを一部インターネット接続系に移すβモデル(β‘モデル)へのシフトに向けて、ネットワークの利用状況調査を実施した結果、αモデルを継続させることにした。この時、αモデル採用ながら将来を見据えてエンドポイントセキュリティを施した。
・行動しながら対応を考えてきた印象である。今までの経験から、確固たる方針を所持すれば前に進めていけるとの思いを抱いている。

(3)情報セキュリティポリシー

・ポリシーは行動の決め事であり、その策定と運用がポイントと考える。組織の成熟度に依存し、成熟度が低いと遵守できない傾向にある。
・ポリシー策定の前提として、①既存例規との親和性、②リスク対策範囲の明確化、③ルール/人/技術のバランスや組織の成熟度の見極めが重要である。
・国のガイドラインやISO等の国際規格への追従に対する留意が必要となる。
・ポリシーは守らすためではなく守るために存在し、その根幹は組織を動かすことと考える。

(4)人的対策

・職員が自分事と思うための啓蒙が重要であり、啓蒙資料(ポイントを記載したガイドブックのようなもの)の配布、研修、内部監査等の対策を行っている。
・研修は職員全員を対象として定期的に実施し、知識のレベル差を作らないことに留意している。
・e―ラーニング主体であり、手軽にいつでも費用をかけずに実施することを心掛けている。
・研修を受講が必須のものと任意のものとに区分するとともに、受講管理を徹底している。
・内部監査では、監査前のアンケート実施やSAAJ近畿支部の支援活用等の工夫を行っている。

(5)まとめ

・世の中の潮流に乗ることは大事だが、それに安易に流されないことはより大事と考える。
・情報セキュリティへの取組を実践する中で気付きを覚え、確固たる組織のスタイル確立に結び付けることができれば最良である。
・フールプルーフの考え方を活用するとともに、インシデント発生時の対処方法について答えを持っておくことが大事である。(実際、過去にインシデントが発生した事実がある。)
・全体として、基本に忠実に、基本は不易、歩きながら考える、という取組姿勢が重要と考えている。「経験は思考から生まれ、思考は行動から生まれる」(ディズレーリ)という格言も存在する。
・さらに言えば、情報セキュリティは、インシデント防止はもちろんであるが、その真の目的はDX推進であり、そのための基盤となることであるととらえている。

6.所感

取り巻くIT環境や保有する情報システム等の変遷を背景に、勤務されている越前市での情報セキュリティへの取組について、方針を含めて具体的に説明をいただきました。そこでは、一般的に情報セキュリティの対応で課題となる利便性とのバランスについて、国のガイドライン等も踏まえながら模索しつつ取り組まれていることがうかがえました。中でも組織として職員を守るという姿勢に加え、情報セキュリティの真の目的はDX推進であるととらえ、先を見据えた行動意識を持たれていることが強く印象に残った次第です。

以上