地方公共団体向け「情報セキュリティポリシー」および「情報セキュリティ監査」のガイドラインをそれぞれ改定 総務省
総務省は10月2日、「地方公共団体における情報セキュリティポリシーに関するガイドライン」および「地方公共団体における情報セキュリティ監査に関するガイドライン」について、意見募集を踏まえた改定版(令和6年10月版)をそれぞれ公表しました。改定は令和5年3月版以来となります。
今回の改定ポイントは、クラウドサービスの利用への対応、業務委託先管理の強化、機密性分類基準の見直し、サイバーレジリエンスの強化などの4点とされています。
クラウドサービスの利用への対応については、地方公共団体が利用するLGWAN(総合行政ネットワーク)接続系の業務端末からインターネット経由で特定のクラウドサービスを利用する際のネットワーク構成を「α‘モデル」として規定しました。α‘モデルは、従来の「αモデル」をベースにローカルブレイクアウトを採用することで直接外部のクラウドサービスを活用できるようにするものです。αモデルよりもセキュリティリスクが高くなるため、より高度なセキュリティ対策の実施を求め、想定されるケースごとのセキュリティ対策例を示しました。
業務委託先管理の強化については、地方公共団体が講じるべき措置(例えば、委託事業者に実施させる情報セキュリティ対策履行状況の定期的な確認)や委託事業者に求める対策がそれぞれ規定されました。また、業務委託の契約項目として、個人情報漏えい防止のための技術的安全管理措置に関する取り決めを新たに定め、コンビニ交付サービスで発生した事案を交えた解説などを追加しています。
機密性分類基準の見直しについては、現行ガイドラインで自治体機密性1~3と分類されている個人情報のうち「自治体機密性3」にあたる情報を3A、3B、3Cとさらに細分化し、国の機密性分類との対応関係を明確化しています。また、国の機密性分類と区別するため「自治体機密性」という名称が新たに用いられることになりました。
サイバーレジリエンスに関しては、サイバー攻撃やサービス不能攻撃(DDoS攻撃)を念頭において、情報システム全体の強靭性を向上させるよう求めています。また、対策の一つとしてゼロトラストアーキテクチャが紹介されました。これは、組織内外を問わずネットワークは常に侵害されているものであるという前提のもと情報資産を保護し、リスクの最小化を図ることを目的とした情報セキュリティ対策における論理的・構造的な考え方のことで、その機能の一部である「動的なアクセス制御」について、政府統一基準で示されている内容を参考として記載しています。
