NPO 日本ネットワ－クセキュリティ協会

｜政策部会｜技術部会｜マーケティング部会｜教育部会｜西日本支部｜スケジュール｜トピックス｜

電子自治体情報セキュリティ管理基準（JNSA案）ver.0.8
に関するパブリックコメント募集と
検証に参加する自治体の募集について

2003年7月15日 NPO日本ネットワークセキュリティ協会 政策部会　セキュリティ監査ワーキンググループ リーダー　　　　　　　　　朝賀康義 サブリーダー　大溝裕則、堀内多佳雄

１．はじめに

　このたびNPO日本ネットワークセキュリティ協会（以下「JNSA」）政策部会　セキュリティ監査ワーキンググループ（以下「監査WG」）では、経済産業省の「情報セキュリティ監査制度」（http://www.meti.go.jp/policy/netsecurity/information_audit.html ）に対応した地方自治体向けのセキュリティ監査における監査項目（セキュリティ管理基準）を作成いたしました。
　情報セキュリティ監査制度では、JISX5080:2002をベースにした監査項目（管理基準）をもとに、被監査組織・業界ごとに実態に合った項目・表現に修正した管理基準を作成し、運用することを求めています。そこでJNSA監査WGでは、まず初めに地方自治体向けの管理基準モデルを作成し、提案することにいたしました。地方自治体は、電子自治体の推進、特に住基ネットの本格稼動を控え、情報セキュリティ対策の確立を強く求められているところです。

２．パブリックコメント募集および検証に参加する自治体の募集
　　　　※パブリックコメント募集締切を8/15日まで延長しました

　今回、電子自治体情報セキュリティ管理基準（JNSA案）ver.0.8を公表するにあたり、本案に関するご意見を広く募集いたします。
　また、監査WGでは、本管理基準案の妥当性を検証するために、希望される地方自治体において無料（交通・宿泊費はご負担ください）にて、セキュリティ監査を実施させていただきます。実施時期、監査範囲、監査結果資料の取扱等については、協議の上、決定させていただきます。地方自治体様からのお問い合わせをお待ちしております。

■	お問い合わせ先	NPO日本ネットワークセキュリティ協会事務局
■	連絡方法	電子メールでお願いいたします。（郵送、FAX、電話はご遠慮ください) mail:　sec@jnsa.org
■	締め切り	パブリックコメント：2003年8月15日17:00必着
■	検証参加	2003年8月31日17:00必着（応募多数の場合は、JNSAにて選定させていただく場合があります）
■	記載項目	（共通）　件名（コメント／検証参加）、氏名、組織・部署名、メールアドレス、電話番号
		（コメント）　ご意見（管理基準項目番号、ご意見、理由）
		（検証参加）　実施希望時期、監査範囲、ポリシー策定状況、その他ご質問

３．電子自治体情報セキュリティ管理基準（JNSA案）ver.0.8の読み方

●監査をする際の注意点 「監査の実施に当たって、「情報セキュリティ管理基準」を判断の尺度として用いる場合、情報セキュリティ監査人は、当該基準において管理項目ごとにその管理目的を記述した「目的」、及び管理目的を達成するための統制目標を記述した「コントロール」を判断尺度の枠組みとして用いることになる。「情報セキュリティ管理基準」において「サブコントロール」として記述された事項は、統制目標を具体的に達成するための統制手段の例示を記述しており、被監査側のリスク等を考慮して監査手続を具体的に実施する局面で適宜取捨選択すべき事項であることに留意する。また、管理目的、統制目標自体が不足している、統制目標を達成するために必要な統制手段が不足していると組織体が判断した場合は、管理目的、統制目標、統制手段を適宜追加することが必要となることに留意する。」（実施基準ガイドラインVer1.0より） 今回のＷＧでは、サブコントロールのレベルで、監査項目とするか否かを検討しましたが、実際の監査においては「コントロール」を判断の尺度とし、サブコントロールは、コントロールが実現できているかどうかを判断するひとつの手がかりと考えてください。監査の実施においては、サブコントロールにとらわれ過ぎず、「コントロール」や「目的」を常に意識することが重要です。特に、元々の表現が自治体用にできていないため、従業員→職員、経営陣→首長／CISO／助役会議、などに読み変える必要があります。JISX5080の訳が必ずしもわかりやすい日本語となっていない場合もあるため、目的やコントロールの趣旨を理解し、解釈して利用する必要があります。

●判定基準の定義

記号	ガイドラインなどで求めている	JNSAとして必要と考えるか
○	求めている	必要
□	求めていない	必要
△	求めている	不要
×	求めていない	不要

●前提条件
・実施機関のうち、首長の所管部局（いわゆる市長部局）を対象とする
（水道、ガス、学校、図書館、消防などを除く）
・ LGWANに接続している
・庁内LANがインターネットに接続/接続していない(両方を含む）
・職員独自開発のアプリケーションがある/ない(両方を含む）
*　ただし、「ない」場合は、開発に関する監査項目は除外
・ホスト/サーバを庁内で運用している/いない(両方を含む）

●参考文献
A：地方公共団体における情報セキュリティ対策に関する調査研究報告書(H14.2)
http://www.soumu.go.jp/singi/security.pdf　
B：情報セキュリティティポリシーに関するガイドライン(H14.11.28一部改定）
http://www.bits.go.jp/sisaku/2002_1128/ISP_Guideline_20021128.html
C：住民基本台帳ネットワークシステム及びそれに接続される既設ネットワークに関する調査表
http://www.soumu.go.jp/c-gyousei/daityo/021107_1.html

４．電子自治体情報セキュリティ管理基準（JNSA案）の今後の発展について

　今回作成した電子自治体情報セキュリティ管理基準（JNSA案）は、情報セキュリティ管理基準の中で電子自治体において必要と考えられる監査項目の抽出のみをしており、管理基準の詳細項目（サブコントロール）の表現を自治体向けの表現に置き換えるなどはしておりません。従いまして、本管理基準案をご覧いただくにあたり、従業員→職員、経営陣→首長／幹部などと読み替えていただきたいと考えます。
　今回広くコメントを募集しその結果を受けて、今後の監査WGの活動の中で、
・自治体向けの表現に置き換える（特に個人情報の保護を重視した表現への置き換えや、コントロールの追加を検討する）
・インタビューや資料の確認だけでなく、技術的なチェックを加えるべき項目を洗い出す
ことをしていく予定です。
　また、監査WGでは、自治体用のリスクアセスメントの標準の策定も検討しています。資産の分類管理の方法と識別された情報資産についてのリスクを評価する方法を標準化し、電子自治体のリスクアセスメントを支援していきたいと考えています。

５．電子自治体情報セキュリティ管理基準（JNSA案）ver.0.8

　　(109KB)

電子自治体セキュリティ管理基準（JNSA案）ver.0.8
ワークメンバー一覧（氏名五十音順）

朝賀康義
阿部晴彦
阿部保
池田秀司
伊藤邦幸
井上大輔
井上文俊
井上満春
遠藤孝行
太田隆博
大溝裕則
落合和雄
加藤雅史
河野省二
木村章展
木村聡
沓澤徹
小林達司
柴崎正道
渡並智
林簡
東山栄一
布施一樹
堀内多佳雄
夏目雅好
丸山満彦
油井秀人
吉田裕美
和田知子

株式会社アイセス
朝日監査法人
株式会社富士通ソーシアルサイエンスラボラトリ
株式会社ディアイティ
株式会社アルゴ２１
ELNISテクノロジーズ株式会社
NPOアイタック
株式会社アルゴ２１
セコム株式会社
ELNISテクノロジーズ株式会社
株式会社ジェイエムシー
株式会社TBC
株式会社TBC
株式会社ディアイティ
中央青山監査法人
株式会社エス・シー・ラボ
サイバーソリューション株式会社
株式会社コシダテック
株式会社網屋
セコム株式会社
株式会社インフォセック
NECソフト株式会社
株式会社NTTデータ
株式会社ヒューコム
株式会社ネットマークス
監査法人トーマツ
富士通エフ・アイ・ピー株式会社
株式会社ジェイエムシー
株式会社アイセス

｜連絡先｜リンク・ロゴ使用について｜