シマンテックが地方自治体向けコンサルを強化、具体的な「手順」作成を支援

実効性のあるセキュリティ対策を実現するには、ポリシーを具体的な項目に落とし込んだ「手順」が不可欠だとシマンテックは指摘する。

[ITmedia]

　シマンテックは3月24日、地方自治体／公共団体向けのセキュリティサービスを強化していく方針を明らかにした。

　同社は2004年にe-Japanセキュリティ対策推進室を設置し、主に中央官庁向けにセキュリティサービスを提供してきた。その経験を生かし、システムインテグレータなど5〜10社とパートナーシップを組んで、全国各地の自治体向けに製品およびコンサルティングサービスを提供していく計画だ。

　シマンテックコンサルティングサービス部官公庁部門のシニアマネージャを務める兜森清忠氏によると、総務省が定めた「地方公共団体における情報セキュリティポリシーに関するガイドライン」や個人情報保護法などを背景に、ほとんどの地方自治体では「情報セキュリティポリシー」を策定済みだ。

　しかし、ポリシーはできたけれど、本当にセキュリティ対策が実行できているかとなると疑問が残るという。つい先日も、ある地方自治体がメールマガジンを通じてウイルスをばら撒いてしまうという事件が発生した。そういったセキュリティインシデントは「なすべきことを具体的な項目やルールに落とし込んだ『実施手順』が存在しないために起きているのではないか」と同氏は指摘する。

　たとえば、ただ「十分な長さを持ち、他人が想像しにくいパスワードを付けること」と言われても、読み手によって受け取り方はさまざま。結果として、均一なレベルのセキュリティ対策が実施できない。実効性のあるセキュリティ対策を実現していくには、誰がどんな役割を負うのかを示したうえで、「ユーザーIDと同一文字列は禁止し、8文字以上で、英字および数字を含んだもの」という具合に明確に指示する「実施手順」を作成することが重要だとした。

実施手順を作成することで責任が明確になるし、説明責任にもつながると述べた兜森氏

　とはいえ、「基本方針」「大原則」であるポリシーは比較的少ないボリュームにまとめることができるが、実施手順となるとそうはいかない。システムや利用状況に合わせて1つひとつ項目を列挙し、あるべきルールを作成していくとなると、相当の手間と時間がかかる。

　そこでシマンテックでは、総務省の「地方公共団体情報セキュリティ監査ガイドライン」に基づいた実施手順の「ひな型」をまとめ、地方自治体向けサービスの1つとして、年内にも提供していく計画だ。

　兜森氏によるとこのひな型は、最低限のルールをまとめたものでも約400項目に上り、各自治体ごとに、実情や求めるセキュリティレベルに応じて追加、変更を加えて利用できる仕組みにするという。ただ、より具体的な提供時期や価格については「まだ検討中」だ。

　シマンテックではさらに、地方自治体が独自に開発した業務アプリケーションの脆弱性を検査する「アプリケーション監査サービス」の提供を計画するほか、要望があれば、担当者や職員向けのセキュリティ教育サービスも提供していきたいとしている。