導入事例：長崎県様

2018年1月、長崎魚市跡地に竣工した新庁舎へ移転した長崎県庁。情報企画の調整・推進や情報システムの開発・運用管理などを担当する長崎県情報政策課では、新庁舎の完成に前後してさまざまな施策に取り組んでいた。

「2015年12月の総務省通知に従い、長崎県では庁内ネットワークとインターネット環境の分離、特定個人情報取扱領域からの情報持ち出し禁止措置、県市町のインターネット接続点を集約してセキュリティ対策を強化する『長崎県自治体情報セキュリティクラウド』の構築といったセキュリティ対策を進めてきました。そうした中、セキュリティインシデントの対応について改めて評価したところ、これまでの対応では十分でないことが明らかになりました」

これまで長崎県で発生したセキュリティインシデントは、職員の事務処理ミスによるものがいくつかあったという。そうした職員の過失によるインシデントについては、過去の事例を参考にある程度の対応はできていたそうだ。

「しかし、サイバー攻撃によるインシデントについては、これまで運よく被害が生じていなかったこともあり、発生した場合にどのように関係者と情報を共有し、どのように対応する必要があるかといった行動基準が体系化できていませんでした。そのため、インシデントに直面した際には、担当職員と関係者が都度判断・対応せざるを得ないという状況でした。また、セキュリティ担当者は数年ごとに入れ替わるため、インシデント対応のノウハウが蓄積されないことも課題でした」

こうしたインシデント対応の課題を解決するために、長崎県ではセキュリティポリシーの改定作業に着手した。

「2018年に総務省の『地方公共団体における情報セキュリティポリシーに関するガイドライン』が改定され、長崎県も本ガイドラインを参照してセキュリティポリシーやその下位規定に該当するセキュリティ実施手順などを見直すことにしました。この改定に盛り込むために、セキュリティポリシーの策定と併せて進めることにしたのが、インシデント対応にあたる組織「長崎県 CSIRT（Computer Security Incident Response Team）」を構築することでした」

長崎県 CSIRT を構築するにあたり、長崎県がまず提案を依頼したのがソフトバンク・テクノロジー（SBT）だった。

「SBT へ長崎県自治体情報セキュリティクラウドの構築と運用を委託しており、県や市町の安全なインターネット利用のため、セキュリティ機器最適化のためのチューニングや通信記録の監視・分析（マネージドセキュリティサービス）を行っていただいています。そのため、SBT のセキュリティ対応力・技術力について高く評価しており、CSIRT との連携も考慮したインシデント対応の監視・分析が可能だと判断し、選定しました」

長崎県では、2018年10月に CSIRT の構築を開始。県が策定したセキュリティポリシー、インシデント対応時に連携が必要な組織の概要などの情報を SBT へ共有するとともに、SBT に対して CSIRT の構築に必要な要件整理、および他自治体の CSIRT に関する情報収集を依頼した。その後、SBT の持つ CSIRT フレームワークを長崎県の要件に合わせてローカライズし、実態に沿った組織構築のためにロールプレイングを実施して完成度を高めていったという。

「SBT とは、これまでも自治体情報セキュリティクラウドを通じて円滑なコミュニケーションが取れていたこともあり、長崎県の実情を反映した CSIRT の完成形が提示されたことを高く評価しています。SBT から提供された参考情報も、必要な情報が端的にまとめられており、長崎県のインシデント対応に不足する部分や必要な対策を明確に認識することができました」