総務省 「自治体情報セキュリティ対策の見直しについて」の公表

こんにちは、丸山満彦です。

総務省が、「自治体情報セキュリティ対策の見直しについて」を公表していますね。

● 総務省

・22020.05.22「自治体情報セキュリティ対策の見直しについて」の公表

　・[PDF] 「自治体情報セキュリティ対策の見直しのポイント」
　・[PDF] 「自治体情報セキュリティ対策の見直しについて」

-----

1.「三層の対策」の見直し
　・マイナンバー利用事務系の分離の見直し
　住民情報の流出を徹底して防止する観点から他の領域との分離は維持しつつ、国が認めた特定通信（例：eLTAX、ぴったりサービス）に限り、インターネット経由の申請等のデータの電子的移送を可能とし、ユーザビリティの向上や行政手続のオンライン化に対応
　・LGWAN接続系とインターネット接続系の分割の見直し
　従来の「三層の対策」の基本的な枠組みを維持しつつ、効率性・利便性の高いモデルとして、インターネット接続系に業務端末・システムを配置した新たなモデル（βモデル）を提示（ただし、採用には人的セキュリティ対策の実施が条件）

2.業務の効率性・利便性向上
　自治体内部環境からパブリッククラウドへの接続、自治体の内部環境へのリモートアクセス、庁内無線LANについて、安全な実施方法を検討・整理

3.次期「自治体情報セキュリティクラウド」の在り方
　・国が最低限満たすべき事項（標準要件）を提示し、民間のベンダがクラウドサービスを開発・提供することにより、セキュリティ水準の確保とコスト抑制を実現
　・引き続き、都道府県が主体となって調達・運営（複数の都道府県の共同調達・運営も可）し、市区町村のセキュリティ対策を支援
　・セキュリティ専門人材による監視機能（SOC）の強化、負荷分散機能（CDN）の追加を検討

4.昨今の自治体における重大インシデントを踏まえた対策の強化
　・神奈川県におけるHDD流出事案を踏まえ、情報システム機器の廃棄等について、情報の機密性に応じた適切な手法等を整理
　・昨年発生したクラウドサービスの大規模障害事案を踏まえ、システムに求められる可用性等のレベルに応じたクラウドサービスの選択や適切な契約等の締結を推進

5.各自治体の情報セキュリティ体制・インシデント即応体制の強化
　実践的サイバー防御演習（CYDER）の確実な受講、インシデント対応チーム（CSIRT）の設置及び役割の明確化等を推進

6.ガイドラインの適時の改定
-----