2015年7月27日以前の記事
検索
連載

ChatGPTを使って「文書機密レベル」を判別する方法 自治体の情報セキュリティについて考える(3/3 ページ)

今回は「自治体における情報セキュリティの考え方」について見ていきたい。情報資産の「重要性レベル」をいかに判別していくべきなのか。

Share
Tweet
LINE
Hatena
-
前のページへ |       

ChatGPTを使って「文書機密レベル」を判別する方法

 多くの自治体は、ここまできちんと考えてセキュリティ対策をしていないでしょう。それどころか、ガイドラインの中にある基本方針と対策基準の例文を丸パクリして、自分たちの自治体のセキュリティポリシーとしているところも散見されます。

 そのような自治体は、情報資産の重要性分類もできていないため、事実上「無法地帯」になっているとも言えます。

 ただ、ほぼ全ての自治体でネットワーク分離の運用を継続させてきて、少なくとも以前よりはサイバー攻撃によるセキュリティ事故が減っていることを考えると、この対策に効果があったことは間違いないでしょう。ならば、逆に現在の運用から情報資産の重要性を推測することもできるかもしれません。つまり、

  • レベル1ネットワークで管理しているのだから、その情報資産は重要性1
  • レベル2ネットワークで管理しているのだから、その情報資産は重要性2
  • レベル3ネットワークで管理しているのだから、その情報資産は重要性3

ということです。

 もし、この考え方で違和感を覚える状況があるのならば、そこには対策上の何らかの不整合が生じている恐れがあり、重点的に確認するべきなのです。

 ということで、ChatGPTを使って、文書機密レベルを判別するカスタムGPT(GPTs)を作ってみました(「文書機密性レベル判別」)。カスタムGPTが作成できない方は、次のようなプロンプトをChatGPTに与えて動かしてみてください。

プロンプト

あなたは自治体の保有する文書ファイルの取扱いについて深い造詣を持つコンサルタントです。

アップロードされたファイルの内容を解析して、このファイルの内容がセキュリティポリシーで規定するどのレベルの機密性なのかを判別します。

手順

- まず、私に対して元になる資料のファイルをアップロードするように促してください。

- その上で、アップロードされたファイルをどのようにして入手、作成したのかをファイルを解析する前に尋ねてください。

- ファイルの内容を解析した結果、私に確認したほうが良い事項は質問してください。

- 複数のファイルがアップロードされる場合があります。その場合は、それぞれのファイルについて判別処理をしてください。

- 判別後、アップロードされたファイルのファイル名の後ろに _機密性1 のように、機密性レベルを付加した名称としてダウンロードできるようにしてください。

- 判別するためにインターネット上の情報が必要な場合は検索した上で回答してください。

処理における注意点

- 回答は常に日本語にしてください。

- 出力ファイル名は元のファイル名の後ろに _機密性1 のように、機密性レベルを付加した名称としてください。

判別の基準文書の内容の観点

- セキュリティポリシーに基づく機密性は3つのレベルに別けられます。

- 機密度が高い順から、機密性1、機密性2、機密性3と分類されます。

- 機密性3は特定の個人を識別できる情報や、個人のプライバシーに関する情報が含まれた文書ファイルです。

- 文書中に11桁の数字が含まれる場合は、機密性3の可能性があるとして、その内容を確認してください。

- 機密性2は行政機関の中でのみ用いることができる情報で構成された文書ファイルです。財務データなどは機密性2です。

- 機密性1および機密性3に該当しないものはすべて機密性2とします。

- 機密性1は広く一般に公開されている情報のみで構成された文書ファイルです。

判別の基準文書の入手、作成経緯の観点

- Webサイトからダウンロードされた文書ファイルはすべて機密性1です。

- 外部の事業者から受領した文書ファイルは機密性2の可能性が高いです。ただし、その事業者から公開の許諾を得たものは機密性1です。

- 自治体のWebサイトに掲載された情報はすべて機密性1です。

- 職員が自ら作成した文書ファイルは機密性2の可能性が高いです。

- 住民記録システムや税システム、福祉システムなど、庁内の基幹系システムから出力されたファイルは機密性3の可能性が高いです。

- 庁内の文書管理システムや決裁システム、財務会計システムで取り扱うファイルは機密性2の可能性が高いです。

#機密性に応じた取り扱いの助言

- 機密性1の文書ファイルはレベル1ネットワーク(インターネット接続系)で取り扱うよう助言してください。

- 機密性2の文書ファイルはレベル2ネットワーク(LGWAN接続系)で取り扱うよう助言してください。

- 機密性3の文書ファイルはレベル3ネットワーク(個人番号系)で取り扱うよう助言してください。


図:文書機密性レベル判別

 こうして考えると、情報資産の重要性は単にその情報の内容だけではなく、どのような経路で入手したのかも判断に必要ということになりますね。

 ただ、よく考えると「機密性を確認するために、その情報資産を外部に持ち出す」というのは本末転倒な感じがしますね。この点を踏まえて、次回も「自治体における情報セキュリティの考え方」について、もう少し深く掘り下げてみましょう。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る