地方自治体のセキュリティー対策について警鐘を鳴らす(財)関西情報・産業活性化センターの木村修二氏 |
シマンテック(株)は15日、“地方自治体/公共団体のセキュリティーに関するメディアワークショップ”と題した記者説明会を開催。(財)関西情報・産業活性化センターの木村修二氏により、地方自治体のセキュリティー対策の問題点と、その解決法についての講演が行なわれた。
講演者の木村氏は、1999年5月に発覚した京都府宇治市の住民情報データ流出事件の際に同市の情報管理課長を担当していて、事件発覚後の再発防止策構築を当事者として経験している。そうした経験を生かして、現在では同センターによる地方自治体の情報化支援に携わるほか、NPOの“情報セキュリティ研究所”会員として、和歌山県の自治体などの情報セキュリティー向上活動を行なっているという。宇治市の事件後の対応については、事件の経緯からその後の対策までさまざまな形で情報公開が行なわれており、その対応方法を評価する意見もある。
木村氏は、自治体の情報セキュリティーは、市民の権利を保障することを基本理念とすべきと切り出し、“情報主体の権利を保護するための情報セキュリティー”と題して、現状の問題点、情報管理の原則、そして物理的・技術的な対策の3テーマを軸に講演を行なった。情報主体とはつまり市民のことで、個人情報が漏洩した場合は被害者となる。「情報セキュリティーは客観的な安全性を目指すが、安心はもっと主観的な要素」としたうえで、市民が安心するためには情報が提供され判断・理解できることが大前提であるが、現在の情報セキュリティーは「安全かもしれないが、安心できないのが実態ではないか」と指摘した。
木村氏が定義する個人情報漏洩の対策の2つの命題。市民が理解できることと、市民のプライバシーを保護することが重要と指摘する |
その上で木村氏は、個人情報漏洩の被害者は市民であり、情報保有者(この場合は自治体)は加害者になることを何度も強調し、しかしこの考えを基盤として対策が立てられているのかと疑問を呈して、現状の情報セキュリティー対策の問題点として、以下の例を挙げた。
- 情報漏洩事故は攻撃者側の問題であり、防衛側のセキュリティー対策と事故発生に相関関係はない。
- 漏洩で被害を受ける市民が魅力を感じるサービスでなければ意味がなく、市民の利便性を損なってはならない。
- 職員へのセキュリティー研修だけで、全職員の意識改革は不可能。たった1人の不注意、不正でも漏洩事故が発生する以上、人的対策に頼るのは危険。
- 職員同士の信用は組織内でしか通用しない論理であり、市民が安心感を抱くには別の仕組みが必要。
- サービスを損なうほど細かい手順を定めても、かえって順守されずにモラルハザードを招く。
- ISMS適合性評価制度(Information Security Management System、組織として情報セキュリティー対策の策定と運用ができているかを認証する制度)の取得は市民にとって重要ではない。情報セキュリティー確保のための施策を公開し、市民の信頼を確保するべき。
- 驚異と脆弱性の相対的な差は把握できない。攻撃者の手段が攻撃を受けるまでは未知数である以上、事故発生後にその結果を解釈するだけでは有効な防止策は生まれない。
- リスク分析とコスト算定のための計算式などない。情報の重要性は市民ごとに異なるし、驚異や脆弱性の程度を事前に判定することはできない。
木村氏の指摘する問題の1つ。職員の教化だけでは成果は上がらないないことを指摘している | 驚異と脆弱性の考え方にも、木村氏は問題を指摘する。攻撃側の手段は攻撃を受ける前には分からない以上、攻撃を受けてからその対策を考えても、今後の問題の発生は防げないとする |
現状を厳しく指摘した上で木村氏は、自治体の情報管理について、情報公開と市民のプライバシー保護が2大原則であり、公権力を行使して情報を集めている以上、任意での情報収集を行なう民間企業とは原則が異なるとした。またセキュリティー対策に100%の安全がないならば、それをきちんと自治体が市民に対して明らかにしたうえで、どのような情報セキュリティー対策を行なっているかを、市民に開示すべきであると述べた。
さらに重ねて、プライバシー保護のための理念として重要なのは、“組織の内部統制”という情報セキュリティーの範疇に含まれるものをやるのは当たり前で、むしろ行政がどのような情報を保有・使用しているかを市民が監視できる“情報主体による監視”仕組みの提供こそが、自治体の情報セキュリティー対策の要点であると、市民への情報公開と市民による監視を強調した。
自治体における情報セキュリティーは、自治体側でのセキュリティー対策はもとより、対策と運用についての情報を公開することが肝要と木村氏は強調した | 市民の権利を保証したシステムのイメージ図。行政が収拾した個人情報は個人情報保護制度により、市民にコントロールや監視の権利がある。また行政の施策についての情報は、情報公開制度に基づいて公開が必要である |
また実際の物理的・技術的なセキュリティー対策として木村氏は、未知・無限の脅威を有限の脅威に転換することで、初めて脅威を制御下に置けるとし、有限の脅威はセキュリティー対策で物理的に“できなくする”ことが対策であると述べた。より具体的な対策としては、通信そのものの脆弱性はLAN内部のVPN化や情報の暗号化、パケットの排除等の通信面での対策を行なう。またクライアント側での規制としては、外部記録メディアでの情報持ち出しとネットワークのへの持ち出しの二方面の対策が必要で、前者はICカードによる使用者認証やパソコンの機能制限で対応し、後者はクライアント側にファイアウォールを導入して、認定されたソフト以外ではネットワークにデータを書き出せなくして内部からの漏洩を防ぐといった手段が示された。この仕組みの特徴について木村氏は、高価なサーバー側セキュリティーソフトが不要であると述べ、クライアント1台当たり3万円(アンチウイルスソフトやファイアウォールを除く)でセキュリティーが構築できるとした。
情報セキュリティー対策の具体策。攻撃は通信レベルで抑えて、内部からの漏洩も厳しく対策する |
記者説明会ではシマンテックから、同社のクライアント向けセキュリティーソフト『Symantec Client Security』が、内部からの情報漏洩対策として宇治市役所に導入されたとの発表も行なわれた。このソフトは一般ユーザー向けの統合セキュリティーソフト“Norton Internet Security”シリーズの企業向けバージョンで、アンチウイルスソフトやファイアウォールに加えて、大規模なネットワークでの管理も可能な管理機能も備えている。宇治市の情報セキュリティー対策は木村氏が述べた“市民のプライバシー保護”を重点に構築され、実際に市役所では、業務ごとにVPNで分離・暗号化されたネットワークや、電子メールのやり取りを外部から物理的に遮断可能なスイッチの導入などを行なっているという。これに加えてSymantec Client Securityの導入により、クライアントからのネットワークへのアクセスは許可されたアプリケーションに限ることで、パケットフィルタリングよりも強固な漏洩対策を実現しているとのことだ。