ページの本文へ

Hitachi

自治体向けソリューション

第1回 LASC設立の背景と自治体ISAC(仮称)の実証実験プロジェクト

1. LASCの概要と設立の背景について

「情報セキュリティの専門組織を、各自治体が独自に組織することは困難です。そこで、LASDECが専任組織としてLASCを設立しました」

日立:
まず、自治体セキュリティ支援室(LASC)の概要と取り組みについて簡単にご説明いただけますか。

石川室長:
自治体セキュリティ情報の共有と、これまで財団法人 地方自治情報センター(LASDEC)が自治体に提供していた情報セキュリティ対策事業を充実・強化するために設立された組織です。
LASCが取り組んでいるのは、大きく下記の4業務となります。

  1. 自治体CEPTOAR(自治体セキュリティ情報の共有)
  2. 情報セキュリティ支援(庁内LAN監視)
  3. 情報セキュリティ遠隔診断
  4. 情報セキュリティに関する人材育成

日立:
どのような背景で設立された組織なのですか。

[写真] 財団法人 地方自治情報センター 自治体セキュリティ支援室 石川家継室長

石川室長:
我が国の政策との関係からご説明します。
電子政府・電子自治体の発展にともない、自治体における個人情報保護や、情報セキュリティ対策の必要性がますます高まっているのはご承知かと思います。このような中、2006年2月に内閣官房情報セキュリティセンター(NISC)によって「第1次情報セキュリティ基本計画」が制定されました。この計画の中では、自治体の情報セキュリティに関する情報の収集・分析・共有などを行う組織の創設が目標として掲げられています。また、自治体を含む重要インフラにおいて、IT障害の発生・拡大を防止し、復旧と再発防止の助けとなる「情報共有・分析機能」(CEPTOAR:Capability for Engineering of Protection, Technical Operation, Analysis and Response)の整備を促進する、とされています。

これを受け、総務省は2006年11月からLGWAN(自治体向けの専用ネットワーク)を用いたセキュリティ情報の分析・共有を行う自治体ISAC(仮称)の実証実験プロジェクトを行いました。この実験によって、自治体を対象としたセキュリティ情報の分析・共有には一定の有効性があることが改めて確認されたのです。

ただ、いかに必要性が認められたとはいえ、このような情報セキュリティの専門組織を各自治体が独自に組織することは困難です。そこでLASDECが、情報共有の分析機能を持った専任組織として、自治体セキュリティ支援室(LASC)を設立しました。

LASCの設立にあたってはもう一つ、これまでLASDECが取り組んでいた自治体セキュリティに関する支援事業の拡充、という側面もあります。LASDECでは従来から、情報セキュリティ関連のe-ラーニングや高度情報セキュリティ研修といった人材育成事業に力を入れてきました。その取り組みを専門の組織でさらに高めていこう、という考えです。

2. 自治体ISAC(仮称)の実証実験プロジェクトについて

「(演習では)対策本部を設置するといった本番さながらのシミュレーションを行い、好評でした。我々が訓練のやり方を準備して自治体に持ち込むスタイルは、大変貴重だという声をいただきました」

日立:
先ほど自治体ISACの実証実験の話が上がりましたので、もう少し詳細をお聞かせください。LASDECは実証実験にどのようにかかわり、またどのような活動をされたのでしょう。

石川室長:
自治体ISAC(仮称)の実証実験プロジェクトは、総務省によって企画案の提案募集が行われました。そこで、我々LASDECと、日立を含む4社の、計5社でコンソーシアムを設立して応募し、採用されました。

活動内容としては、LGWANを活用した情報の共有・分析ということで、まずは各自治体にセキュリティに関する情報を提供するために、週1回のメールマガジンを発行しました。セキュリティ事故のニュースや、有識者のコラムといった情報を定期的に配信することで、トラブルが発生する前の平時から、恒常的に情報共有を図ることを目指したのです。
また、数団体にご協力いただき、実際に情報漏えいが発生した事態を想定して、緊急連絡体制の確認や、「事案対処」と呼ばれる演習も行いました。

日立:
実験に参加した自治体の反応はいかがでしたか。

[写真] 財団法人 地方自治情報センター 自治体セキュリティ支援室 石川家継室長

石川室長:
各自治体には実験の最後にアンケートをお願いしましたが、概ね良好な反応でした。
特に好評だったのは、自治体の方がご自分で実施できる、各種のチェックツールです。セキュリティに関する自己チェックができるツールや、自分の自治体のセキュリティレベルが全国的に見てどれくらいのレベルにあるかがわかる「セキュリティレベル評価ツール」を提供したのですが、これが「良かった」という声をいただきました。

また、先ほど申し上げた「事案対処」についても、対策本部を設置するといった本番さながらのシミュレーションを行い、好評でした。自治体の方にしてみれば、このような訓練をする機会はめったにありませんし、そもそも事故を経験したことがなければ「リアルなシナリオ」を思いつくことができません。そういう意味で、我々が訓練のやり方を準備して自治体に持ち込むスタイルは、大変貴重だという声をいただきました。

反面、反省すべき点と言いますか、我々の認識不足を感じさせられた点もありました。
メールマガジンの配信にあたり、各自治体でのLGWANの利用状況を伺ったのですが、自治体ごとに利用形態や利用率が大きく異なっていたのです。庁内LANとLGWANの接続形態が自治体ごとにまちまちだったり、職員の方の知識や操作の習熟度に差があったりしたため、LGWANを有効に活用いただくための取り組みをこれまで以上に促進していかねばと考えました。

自治体セキュリティ監視サービスに関するお問い合わせ

LGWAN-ASP 自治体セキュリティ監視サービス

「LGWANを利用した「自治体セキュリティ監視サービス」については、下記にお問い合わせください。
株式会社 日立システムズ お問い合わせ

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

[リンク]自治体ICT応援サイト「CyberGovernment Online」へ [リンク]日立 自治体向けメールマガジン