情報セキュリティ対策について（情報セキュリティポリシー）

電子自治体の構築等による行政の情報化に伴い、従前とは比較できないほど大量の情報資産がネットワーク上に存在することになりました。

このことによって、情報資産を有効に活用でき、県民サービスの向上や事務処理の効率化などの利便性を享受できる一方、不正アクセス等による情報資産の破壊、窃取、改ざんや個人情報の大量漏えい等の脅威やリスクに対抗するための情報セキュリティ対策の必要性が増大してきました。

山梨県における情報セキュリティ対策の取り組みをご紹介します。

1.情報セキュリティとは

情報セキュリティとは、保有する情報資産について、1.機密性、2.完全性、3.可用性の3つの状態を維持することと定義されています。

機密性：情報資産が正当な使用者に対してのみ、適切な手段で利用される状態
完全性：情報資産が破壊、改ざん又は消去されていない状態
可用性：情報資産が必要とされているときに、正当な使用者が適切な手段で使用できる状態

なお、ここでいう情報資産とは、1.ネットワーク、情報システム及びこれらに関する設備並びに電磁的記録媒体、2.ネットワーク及び情報システムで取り扱う情報（これを印刷した文書を含む。）、3.ネットワーク及び情報システムに関連する文書のことをいいます。

2.情報セキュリティポリシー

山梨県では、平成15年6月に情報セキュリティポリシーを策定し、これに基づき情報セキュリティ対策を行っています。

情報セキュリティポリシーとは、組織が保有する情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的に取りまとめたものであり、情報資産の安全確保のための方針です。なお、情報セキュリティを取り巻く各種状況の変化に対応するため、必要に応じて情報セキュリティポリシーの見直しを行っています。

情報セキュリティポリシー策定の効果は、1.職員のセキュリティ意識の向上、2.一貫したセキュリティ対策への取り組み、3.県民の行政への安心感の向上にあります。

情報セキュリティポリシーは、情報セキュリティ基本方針と情報セキュリティ対策基準の2つにより構成されています。内容は、総務省策定の「地方公共団体における情報セキュリティポリシーに関するガイドライン」及び情報セキュリティの国際標準であるISO17799に準拠したものとなっています。また、情報セキュリティポリシーに基づき、各情報システムごとに情報セキュリティ実施手順を作成しています。

＜山梨県情報セキュリティポリシーの概要＞
区分	基本方針	対策基準	対策例
人的対策	人的対策の実施（例：パスワード管理・教育訓練）	パスワードの設定や管理ルール、職員への教育訓練等	PC起動時等パスワードの定期更新、職員向け研修の実施
物理的対策	物理的対策の実施（例：施設・設備の入退管理、電源対策）	コンピュータ室への入退室管理、バックアップ電源の確保等	ICカードによる入退室管理、発電機・無停電電源装置の設置
技術的対策	技術的対策の実施（例：アクセス制御・ウイルス対策）	本人認証、外部境界部での遮断、ウイルス対策の実施等	ファイアウォール設置、ウイルス対策ソフト導入、ユーザ認証
運用による対策	運用による対策の実施（例：システム監視・緊急時対策）	監視体制の確立、障害・侵害等の緊急時対応	不正アクセス検知システムの導入、緊急時対応計画の策定

山梨県情報セキュリティ基本方針（PDF：8KB）

3.具体的な取り組み

山梨県では、情報セキュリティポリシーに基づき、物理的な対策や技術的な対策のほか、人的対策、運用による対策として、情報セキュリティ研修（新任職員研修、PCリーダー研修、職場研修（全所属）、eラーニングによる情報セキュリティ研修、職場研修指導者説明会等）の実施、不審メール対応訓練、情報セキュリティ自己点検、情報セキュリティ内部監査、公開系サーバに対する脆弱性検査、パソコン・サーバ等のソフトウェアの脆弱性対応、メーカー提供修正プログラムの適用管理、セキュリティ関連情報の収集・提供などを定期的に実施しています。