« NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集 | Main | 外国政府の支援を受けた攻撃者が米国財務省のネットワークに侵入し、情報を盗んだ? »

2020.12.13

総務省 意見募集「地方公共団体における情報セキュリティポリシーに関するガイドライン」(改定案)、「地方公共団体における情報セキュリティ監査に関するガイドライン」(改定案)

こんにちは、丸山満彦です。

総務省が、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(改定案)「地方公共団体における情報セキュリティ監査に関するガイドライン」(改定案)についてのパブコメ募集中です。

2020.05.22に「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」(座長:佐々木 良一 東京電機大学研究推進社会連携センター顧問 客員教授)においてとりまとめられた「自治体情報セキュリティ対策の見直しについて」を踏まえて、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(改定案)及び「地方公共団体における情報セキュリティ監査に関するガイドライン」(改定案)を作成し、意見募集を行なっているということですね。。。。

● 総務省

・2020.12.09 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(改定案)等に対する意見募集

・[PDF] 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(改定案)

・[PDF] 「地方公共団体における情報セキュリティ監査に関するガイドライン」(改定案)

 

■ 参考

● 総務省

・2020.05.22「自治体情報セキュリティ対策の見直しについて」の公表

・・[PDF] 「自治体情報セキュリティ対策の見直しのポイント」

(2)具体的施策
 自治体の効率性・利便性の向上とセキュリティ確保の両立を図る観点から以下を実施

1.「三層の対策」の見直し
 ・マイナンバー利用事務系の分離の見直し
 住民情報の流出を徹底して防止する観点から他の領域との分離は維持しつつ、国が認めた特定通信(例:eLTAX、ぴったりサービス)に限り、インターネット経由の申請等のデータの電子的移送を可能とし、ユーザビリティの向上や行政手続のオンライン化に対応
 ・LGWAN接続系とインターネット接続系の分割の見直し
 従来の「三層の対策」の基本的な枠組みを維持しつつ、効率性・利便性の高いモデルとして、インターネット接続系に業務端末・システムを配置した新たなモデル(βモデル)を提示(ただし、採用には人的セキュリティ対策の実施が条件)

2.業務の効率性・利便性向上
 自治体内部環境からパブリッククラウドへの接続、自治体の内部環境へのリモートアクセス、庁内無線LANについて、安全な実施方法を検討・整理

3.次期「自治体情報セキュリティクラウド」の在り方
 ・国が最低限満たすべき事項(標準要件)を提示し、民間のベンダがクラウドサービスを開発・提供することにより、セキュリティ水準の確保とコスト抑制を実現
 ・引き続き、都道府県が主体となって調達・運営(複数の都道府県の共同調達・運営も可)し、市区町村のセキュリティ対策を支援
 ・セキュリティ専門人材による監視機能(SOC)の強化、負荷分散機能(CDN)の追加を検討

4.昨今の自治体における重大インシデントを踏まえた対策の強化
 ・神奈川県におけるHDD流出事案を踏まえ、情報システム機器の廃棄等について、情報の機密性に応じた適切な手法等を整理
 ・昨年発生したクラウドサービスの大規模障害事案を踏まえ、システムに求められる可用性等のレベルに応じたクラウドサービスの選択や適切な契約等の締結を推進

5.各自治体の情報セキュリティ体制・インシデント即応体制の強化
 実践的サイバー防御演習(CYDER)の確実な受講、インシデント対応チーム(CSIRT)の設置及び役割の明確化等を推進

6.ガイドラインの適時の改定

 

これまでの検討会の開催の経過

地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会





■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.23  総務省 「自治体情報セキュリティ対策の見直しについて」の公表

|

« NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集 | Main | 外国政府の支援を受けた攻撃者が米国財務省のネットワークに侵入し、情報を盗んだ? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集 | Main | 外国政府の支援を受けた攻撃者が米国財務省のネットワークに侵入し、情報を盗んだ? »