読んでナットク!自治体ICT
自治体は、法令などに基づき住民の個人情報を保有しています。保有する住民の個人情報を守りながら行政サービスなどの業務を継続するためには、強固な情報セキュリティ対策が必要です。一方で、近年のサイバー攻撃は手口が多様化しており、重要インフラの物理的被害や大規模な個人情報の流出など、その被害も深刻化しています。
そこで今回は、サイバー攻撃のトレンドや、2022年3月に改訂された「地方公共団体における情報セキュリティポリシーに関するガイドライン」のポイントをご紹介します。
独立行政法人 情報処理推進機構が毎年発表している「情報セキュリティ10大脅威」の2022年版が、2022年3月に公表されています。組織向けの脅威を見てみると、10大脅威の中では、サイバー攻撃が占める割合が多くなっています。
出典:「情報セキュリティ10大脅威 2022」解説書(IPA 独立行政法人 情報処理推進機構)
組織向けの脅威の中で、最近特に注意喚起されているのが、1位「ランサムウェアによる被害」、2位「標的型攻撃による機密情報の窃取」です。ランサムウェアとはコンピューターウイルスの一種で、PCやサーバーが感染すると、端末のロックやデータの暗号化が行われます。感染した場合は、復旧と引き換えに金銭を要求されます。
標的型攻撃は、機密情報の窃取や業務妨害を目的に特定の組織を狙う攻撃です。急増している「Emotet」攻撃では、知り合いに成りすまして送られてくるメールの添付ファイルを開くことで感染します。ショートカットファイル(LNKファイル)を悪用して感染させる手口も確認されています。
近年、国内でランサムウェアによる攻撃をはじめとするサイバー攻撃事案の報告が続いていることや、「Emotet」の感染事例が急増していることから、2022年2月以降、たびたび政府から自治体を含む各方面にサイバーセキュリティ対策の強化についての注意喚起がなされています。改めて「リスク低減のための措置」、「インシデントの早期検知」、「インシデント発生時の適切な対処・回復」の徹底が求められているところです。
では、自治体における情報セキュリティインシデントに対処するための体制や、サイバー攻撃を探知した後の対応方針はどうなっているのでしょうか?
2022年3月に公表された「自治体DX・情報化推進概要」には、情報セキュリティ対策の実施状況についての調査結果も含まれており、多くの自治体でおおむね組織体制・規程類の整備がなされているという結果になっています。
都道府県では45団体(95.7%)、市区町村では1,598団体(91.8%)で任命されています。
都道府県では46団体(97.9%)、市区町村では1,382団体(79.4%)で整備されています。
都道府県では全団体、市区町村では1,274団体(73.2%)で、緊急時対応計画が策定されています。
自治体における情報セキュリティ対策が網羅されたガイドラインとしては、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」が公表されていて、このガイドラインを参考に情報セキュリティ対策を整備している自治体も多いと思われます。
2022年3月には改訂版が公表されましたが、改訂版は、自治体におけるデジタル化の動向や、2021年7月に公表された「政府機関のサイバーセキュリティ対策のための統一基準」の改定を踏まえた内容となっており、ポイントとなる以下の4点を中心に、記載の見直しや追記がなされています。
例えば、「2.情報セキュリティ対策の動向を踏まえた記載の充実」では、不正プログラム対策製品やソフトウェアなどを導入するだけではなく、監視体制やCSIRTとの連携など組織的な対応が必要である旨が記載されています。
情報セキュリティ対策は、個人情報保護や災害対策と重なる部分も多く、情報セキュリティ対策をしっかりと行うことで、自治体の情報システムの可用性や完全性を高め、行政サービスを安定供給することができます。そのため、情報セキュリティ担当部署だけでなく、個人情報保護や災害対策を行う部署、これらに協力する担当者などが相互に連携し、組織として対策に取り組むことが大切です。
(2022年6月6日 公開)
配信を希望される方へ
自治体ICTに関する事務局おすすめの記事をメールマガジンでお届けします。登録は無料です。