このほど開かれた情報セキュリティ政策会議では、政府機関の対策実施状況が明らかになった。職員のセキュリティ意識では役職によって十分で浸透していないことが分かり、サイト改ざん問題でもこの結果を裏付ける対応の遅れが生じた。
内閣官房情報セキュリティセンター(NISC)による情報セキュリティ政策会議が5月8日に開催され、2008年度の政府機関における対策の実施状況が発表された。前年に比べて対策が進んだものの、職員のセキュリティ意識では役職によって開きがあることが分かった。
NISCは、全政府機関のセキュリティ対策状況を把握する目的で2006年度から調査している。2008年度は、ほぼすべての職員となる約55万人からの報告を取りまとめた。
各府省庁が対策を把握している割合は97.3%。対策の実施率は職員全体で96.9%だったが、責任者やシステム管理者に比べて一般職員の実施率が低いことが分かった。政府統一の順守規準の達成状況では、達成率が100%という職員が全体で76.1%、達成率95%以上が86.5%、達成率90%以上が91.2%だった。
しかし役職者別にみると、特に一般職員ほど達成率が低い状況となった。一般職員は、責任者などに比べて日常業務で順守しなければならない項目が多く、達成率を高めるのが難しいとNISCでは説明している。
セキュリティ教育の状況では、全府省庁での実施率が98.6%であるのに対し、職員の受講率は87.6%だった。未受講者に対する指導が不十分であるものの、人事異動などに伴う早期の教育の実施は十分に行われているという。
情報の取り扱いに関するセキュリティ状況では、利用や消去を適切に行っているという割合が95%以上だった。一方、情報に対するセキュリティレベルの格付けや保存および移送における暗号化、管理者への届出の実施は90%を下回った。
暗号化や電子署名の使用、外部委託先に対する情報処理の制限、ドメイン名使用に関する管理の実施状況は、全府省庁平均で86.9%となり、十分に浸透していない様子が明らかになった。
4月には、国土交通省と厚生労働省のWebサイトが不正に改ざんされ、サービス停止に追い込まれる事件が発生した。両事件では確認後の対応プロセスに大幅に遅れが生じ、緊急体制のあり方や職員のセキュリティ意識において課題が浮き彫りになった。
国交省のケースでは、4月11日にNISCからの連絡を受けて12日からサービスを停止して対策を行い、28日から順次サービスを再開した。厚労省のケースでは、4月7日に担当者が非公開ページでの改ざんを把握しながらも、「改ざんされただけで外部には影響しない」との判断から関係者に報告していなかった。13日にNISCが問題を指摘し、厚労省は同日から16日までサービスを停止して対策を実施した。
いずれも事件も被害は改ざんのみであり、不正プログラムが仕掛けられたり、情報が盗まれたりするなどの深刻な状況には至らなかった。しかし、連絡やサービスの停止および原因究明、復旧作業の一連のプロセスについて、関係先が内閣官房や各府省庁のシステム部門などに跨り、対応には多大な時間を費やした。
NISCは、両事件から特に緊急対応時における意思決定のプロセスやスピードに問題があると指摘している。国交省のケースでは、発生が休日だったことから関係者の対応が遅れ、厚労省のケースでは担当者の個人的な判断が優先されてしまう格好となった。
情報セキュリティ補佐官の山口英氏(奈良先端科学技術大学院大学教授)は、対策について、組織とシステム運用の両面から改善を講じる必要があるとの見解を示している。緊急事態における連絡体制や対応手順の再確認に加え、担当者の危機管理意識を高めることが必要だと指摘する。
また、システム運用ではサーバの台数削減や管理の集約することで、緊急事態に迅速に対処できるようにする必要があるという。NISCによれば、2008年度は政府全体で約900台のWebサーバおよびメールサーバを削減し、運用規模はWebサーバが約1000台、メールサーバが約1900台となった。セキュリティ対策ではさらに削減を進める必要がある。
しかし、実際にはシステム運用が各府省庁に分かれていることや職員のセキュリティ意識の浸透度が一部で不十分であるといった課題が残る。NISCでは、2010年度の情報セキュリティ政策会議までに、具体的な対策の改善計画をまとめることにしている。
Copyright © ITmedia, Inc. All Rights Reserved.