 |
||||||||
 |
 |
 |
|
広報誌 ネット&ライン>No.82 |  |
最新号 | |
バックナンバー |
|
 |
 |
||
安全対策 |
| 情報セキュリティ対策 財団法人岐阜県市町村行政情報センターシステム研究室 | |||
|
|||
| 現在のコンピュータ利用は、LANは言うに及ばず、インターネットへの接続、出先からのリモート・アクセスなど庁内ネットワーク基盤の活用を前提とした利用がされています。ネットワーク化は、ユーザの利便性を向上する反面、多くの危険もはらんでいます。民間企業では、重要な顧客データが外部の第三者に漏れる事件、悪意の第三者からの不正アクセスにより、内部システムが使用できなくなるような問題が現実に起きています。 ネットワーク経由の攻撃は、攻撃者の顔が被害者から全く見えないために、長時間にわたって攻撃が可能であるとともに、ファイルのコピー、改ざん、消去の操作そのものが比較的容易です。攻撃者の特定が困難であることから更に被害を大きくする原因にもなっています。 ○ データの破壊 ○ データの漏えい ○ データの改ざん ○ 信ぴょう性・証拠性の喪失 などが具体的なセキュリティ上の脅威として挙げられます。これらのような問題が起きた場合の影響は、信用の失墜、対外関係の悪化など、ダメージは計り知れないものがあります。 このような背景を受け、1996年10月に、コンピュータ緊急対応センター(JPCERT/CC*)が設立され、中立的な立場で不正アクセスへの対策、被害実態の公表、セキュリティ関連技術の啓発を実施、各企業等に対して注意を促しています。
* |
|
| 〜製品導入だけでは安全は保てない〜 セキュリティ上の脅威を防ぐ手段として、例えば単にファイアウォールなどの製品を導入すれば済むと安易に考えてはいけません。製品を導入することも必要ですが、セキュリティを保つために不可欠な導入前、導入後にしなければならない重要なことがあります。 導入前に、組織全体のセキュリティの方向性を決定する「セキュリティ・ポリシー」を策定することが重要といえます。情報の保管場所、管理方法、情報提供の手段を明確にし、導入後においては、リスクを見積もることで、セキュリティ・ポリシーを確立し、適切に運用・管理することです。 |
|
| 〜最も効果的なセキュリティ対策〜 セキュリティ上の危険度と、守るべきデータの重要度に応じて、セキュリティ対策を施さなければなりません。ありふれた当たり前の対策も、セキュリティ上の脅威に対する効果は大きく見逃してはならないことです。 ありふれた対策とは、パスワード管理、修正ソフトの適用、ログの監視など。これを補う最新情報は、インターネットから無償で入手できる場合が多く、最新情報と利用している製品のセキュリティ情報を注意深くチェックすることで、多くのリスクは避けることができます。 |
|
○
パスワード管理 |
|
|
| 昭和52年4月にデータの改ざん・盗難等によるプラバシー侵害や機密漏えいなどの問題に対する措置として、「電子計算機システム安全対策基準」が公表されました。 その後、ネットワーク等今日的な情報環境への対応、阪神・淡路大震災を教訓とした地震対策の強化、国際ルールへの対応といった問題意識を受けて、平成7年8月29日に改定され、対策項目の全面的な見直しが行われています。また、ネットワークを中心とした分散処理の進展を考慮し、基準の名称が「情報システム安全対策基準」に変更されています。 改訂されました基準の構成等について御紹介します。 |
◇主旨 情報システムの機密性、保全性及び可用性を確保することを目的として、自然災害、機器の障害、故意・過失等のリスクを未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したものである。 ◇基準の構成 設置基準、技術基準及び運用基準から構成されており、その内容は以下のとおりである。 設置基準(100項目) 技術基準(26項目) 運用基準(66項目) ◇適用区分 設置基準 建物、コンピュータ室、事務室、データ等保管室、端末スペース及び関連設備の合計6項目に区分し、運用する情報システムの重要度等を考慮して、各対策項目の適用区分を明記している。 関連設備は、その基準項目が建物又は室と一体となって対策する必要のある場合は、建物及び室にも適用区分を明記している。 技術基準及び運用基準 |
〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 〇 当センターでは、去る8月27日から28日に行政情報管理者研修特別コースを実施し、地震災害や火災等に備えて防災対策をテーマに、阪神・淡路大震災で大きな被害を受けられた兵庫県西宮市役所での講演と国内最大規模のアウトソーシングセンタである富士通明石システムセンタの視察を行いましたので、その概要を御紹介します。 ・・・・・・・・・・・・・・・・・・・・・・・・・・ <西宮市役所> 阪神・淡路大震災では、全庁的に支柱、コア部壁破損、仕上材剥離が多数発生し、特に6〜8階は即日立入禁止となり、電算室もフリーアクセス床の陥没、浮上、パーテーション破損、ガラス面飛散、断水等による空気調和装置の使用停止など発生しましたが、ホストコンピュータは傾いたもののディスク内データには異常がありませんでした。 ◇消火設備 ◇空気調和装置 ◇自家発電機 ◇入室管理 ◇その他 ・・・・・・・・・・・・・・・・・・・・・・・・・・ <富士通明石システムセンタ> アウトソーシング事業の拠点として、平成9年11月に開設され、万全な災害対策と高度なセキュリティを誇っており、主な安全対策は次のようになっています。 ◇災害対策 停電対策 火災対策 ◇防犯対策 防犯監視 データ保管 |
免震装置 |
 積層ゴム支承
弾性すべり支承 |
|
| 行政分野を対象とした取組としては、電子計算機により処理されている個人情報の取り扱いに関して保有の制限や本人からの開示請求などの基本的ルールを定め、個人の権利利益を保護することを目的とし、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年法律第95号)が施行されています。 一方、地方公共団体においては、コンピュータによる個人情報の処理が進展するにつれ個人情報の保護を条例によって制度化する団体が年々増加しています。自治省の調べによると平成10年4月1日現在では、1,407団体(一部事務組合8組合を含む)の地方公共団体において制定されており、制定している割合は全地方公共団体(3,302団体)の42.4%となっています。また、条例ではなく規則や規程等により対策を講じている団体も合わせると2,273団体(全地方公共団体の68.6%)が何らかの形で個人情報保護対策を講じています。
|
|
| 民間分野を対象とした取組としては、通商産業省において民間企業等が取り扱う個人情報の適切な保護のため、平成元年4月に「民間部門における電子計算機処理に係る個人情報の保護についての指針」(平成元年4月18日情報化対策委員会個人情報保護部会)を制定しましたが、国内の個人情報侵害事例の増加、諸外国の個人情報保護強化の動向、インターネットなどの開放型ネットワーク利用者の加速度的な増加等、個人情報保護を巡る状況の変化を踏まえ、「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(平成9年3月4日通商産業省告示第98号)として改定されました。改定後のガイドラインでは、「個人情報」の定義が明確化されたのを始め、「個人情報の収集に関する措置」等がより詳細にわたって規程されています。
|
|
| 情報サービス事業者の業界団体である社団法人情報サービス産業協会(JISA)では、通商産業省のガイドラインの告示を受け、平成9年11月に「情報サービス産業 個人情報保護ガイドライン」を作成し事業者による自主的な取組を行っています。このガイドラインでは、情報サービス事業者が個人情報を取り扱う上での基本的なルールを示したものであり、情報サービス事業者の企業別コンプライアンス・プログラム(監査規程、社内教育規程、苦情処理規程など社内組織規定、手続き規程のほか、帳票の整備等の細則を含む社内遵守体制)策定の基礎となるものです。具体的には個人情報の収集に関する事項、個人情報の利用に関する事項、個人情報の提供に関する事項、個人情報の管理に関する事項等の制限及び禁止事項などについて規定されています。 また、個人情報について適切な保護措置を講ずる体制を整備している民間事業者等に対してマークの使用を認め表示することで、個人情報の取り扱いが適切であることを国民に分かりやすく示す制度として、財団法人日本情報処理開発協会(JIPDEC)が中心となりプライバシーマーク制度を進めています。現在はまだプライバシーマークを付与された企業はありません(平成10年7月1日現在)が、各企業等でコンプライアンス・プログラムの策定が進められており、今後は取得する企業等が増えてくるものと考えられます。 |