logo
CNET ID
search

第9回 情報セキュリティ対策例(3)−電子政府のセキュリティ

虎谷 雅人(富士総合研究所)2003年06月04日 10時00分
特集

基礎から分かる 情報セキュリティマネジメントの記事一覧はこちら

 今回は、まず電子政府と情報セキュリティの関連について概観した上で、特筆すべきセキュリティ対策としての認証基盤について解説する。次に、第5回から第8回で扱ったセキュリティ対策の観点から、近年、急ピッチで構築が進む電子自治体に焦点をあて、実務上の留意点をあげる。最後に、電子自治体に関する最近のトピックとして、共同アウトソーシングについて説明する。

電子政府と情報セキュリティ

 2001年、「電子政府の実現」として

  1. 行政文書の電子化、ペーパーレス化
  2. 情報ネットワークを通じた情報共有・活用
  3. 国民、企業等との間での行政手続のオンライン化

 が行われることとなった。自宅や職場からインターネットを経由し、行政手続が24時間受付可能となることで、国民や企業の利便性が飛躍的に向上することが期待されている。

 反面、ネットワークを通じてやりとりされる情報は個人情報や企業の機密情報、さらには、国家安全保障に関するものも含まれており、情報資産の安全性(情報セキュリティ)が「電子政府の実現」の大前提となっている。

e−Japan構想の全体像

 電子政府、電子自治体に関連する情報システムとネットワークについて以下に示す。

e−Japan構想を支える認証基盤

 匿名性の高いネットワーク上での行政手続は、本人性の確認=認証が必須となる。これを解決する仕組みが認証基盤である。2001年4月施行の電子署名法により、電子署名に押印や署名と同等の法的効力が付与され、電子政府、電子自治体サービスの実効性を担保する基盤として位置付けられている。認証基盤は、認証する対象者の種別により

  1. 政府認証基盤(省庁官職の認証、申請企業の認証)
  2. 組織認証基盤(地方公共団体の官職の認証)
  3. 公的個人認証サービス基盤(住民の認証)

 がある。

 技術面においては公開鍵基盤(PKI)が採用されており、政府認証基盤はGPKI(Government Public Key Infrastructure)、組織認証基盤はLGPKI(Local Government Public Key Infrastructure)とも呼ばれる。

 公開鍵基盤は、署名用の秘密鍵、ペアとなる公開鍵、身分を証明する証明書、身分を認証する認証局で構成される。本人のみが知る秘密鍵で文書に署名(暗号化)し、電子証明書(公開鍵付き)とともに相手先に送信する。秘密鍵で暗号化された情報はペアとなる公開鍵でしか復号できないため、相手先が公開鍵で復号でき、かつ電子証明書が認証局で認証されれば本人確認ができるという仕組みである。

 2002年12月に行政手続オンライン化三法が成立し、2003年度中の全面運用に向け準備が整いつつある。

自治体内の対策についての留意点

 次に、前回まで(第5回〜第8回)のセキュリティ対策を電子自治体に対し実際に適用する場合の留意点を述べる。

 1.セキュリティマネジメント(第5回、第6回)

  • セキュリティポリシーと個人情報保護条例の整合性
 個人情報保護条例はセキュリティポリシーの上位規定であり、セキュリティポリシー策定の前提として条例改正が必要となる場合がある。例えば、同条例では住民システムと他のコンピューターとの接続、すなわちインターネットとの接続を禁じている場合がほとんどである。間接的にではあれ接続がある場合は、セキュリティポリシーを策定する以前に、上位規定である条例の改正もあわせて必要となることに留意すべきである。
  • セキュリティポリシーの実効性
 セキュリティポリシーの規則としての実効性は、何らかの法令により根拠付けられる必要がある。例えば、セキュリティポリシーに違反した場合の懲戒等罰則の実効性を担保するためには、根拠法令との関連をセキュリティポリシー上に規定する必要がある。

 2.ネットワークセキュリティ(第7回)

 自治体内部では個人情報を保有する業務系システムと情報系システムが分断されていることが多い。しかし、電子申請等電子自治体の実現を想定すれば、両システムの接続の必要性は高い。接続に際しては、ネットワークセキュリティの考慮に加え、個人情報保護の重要性に鑑み、運用監視体制等人的マネジメントへの十全な配慮も同時に必要となる。

 3.システム開発におけるセキュリティ(第8回)

 システム開発における脆弱性対策については事前の取り決めが重要である。なぜならシステム開発が一旦開始された場合、その不備を修正することは困難であるばかりか、修正する場合も、納期遅延となる可能性が生じるからである。不備が未発見に終わる最悪の場合は、重大なセキュリティ上の脅威をかかえることとなる。外部へ一括発注するケースが多い自治体のシステム開発においては特にその重要度は高く、発注仕様上、セキュリティに対する開発上の対処策が含まれるよう記載すべきである。

総合的なセキュリティ対策としての共同アウトソーシング

 セキュリティ対策は体制面、物理面、システム面に大きく分類される。特に、システム面の対策の立案、管理については高度な専門性が必要とされるとともに運用負担が大きい。一方、自治体側では財政、IT関連要員の不足が課題となっており、システム面の管理を十分に行うことは困難な状況である。これを解決する方法として民間のiDC(インタネット・データ・センター)を活用した共同アウトソーシング(複数自治体が共同し業務を標準化、運用を外部にアウトソーシングするもの)が注目されている。業務を共同化することによるコスト削減、利便性向上効果もさることながら、専門企業を活用した総合的なセキュリティ対策としても大きな効果が見込まれる。

筆者略歴
虎谷 雅人(トラタニ マサト)
株式会社 富士総合研究所
システム営業本部 システムコンサルティング部 シニアシステムコンサルタント
システムエンジニアとして金融機関の事務分析、EUC支援、CRMシステム開発等に従事後、現職。自治体共同運営センター構想の策定等、各種システムコンサルティングを行っている。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]