公的機関や民間企業のIT化が進むと同時に、サイバー攻撃の脅威も高まり続けるなか、「情報セキュリティ」は大きなウェイトを占めるようになった。
本連載では、セキュリティ対策を考える自治体、教育機関、医療機関、民間企業すべてに参考となる情報の提供を目指し、
様々な組織におけるセキュリティ対策が、どのような理念にのっとって行われてきたのか、そして実際のモデルケースを追っていく。

>「セキュリティ対策ヒストリー&モデル」記事一覧

第4回、第5回では、各組織がIT環境構築の際に参考とする、セキュリティガイドラインを紐解いてみることにしたい。
具体的には、各種業界における監督官庁や関連機関などが示す5つのセキュリティガイドライン(もしくはそれに準ずるセキュリティ基準)における「認証」に関連する項目を読み解きながら、それぞれの認証に対するスタンスの違いなどを浮き彫りにしていこう。

抑えるべき主要なセキュリティガイドライン5選

取り上げるセキュリティガイドラインは以下の5種類だ。
1:「教育情報セキュリティポリシーに関するガイドライン」文部科学省 (地方公共団体が設置する)小学校、中学校、義務教育学校、高等学校、中等教育学校及び特別支援学校 2:「医療情報システムの安全管理に関するガイドライン」厚生労働省 医療機関等(病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等) 3:「中小企業の情報セキュリティ対策ガイドライン」 独立行政法人情報処理推進機構(IPA) 業種を問わず中小企業及び小規模事業者(法人のほか、個人事業主や各種団体も含む) 4:「府省庁対策基準策定のためのガイドライン」内閣官房情報セキュリティセンター(NISC) 府省庁 5:「PCI DSS」経済産業省 クレジットカード加盟店、カード発行会社、決済代行会社、システムメーカーなど
では、これらのガイドラインを順番に見ていくこととしよう。

二要素認証の利用が「推奨事項」に
【教育情報セキュリティポリシーに関するガイドライン】

教育情報セキュリティポリシーに関するガイドライン」は、2017年10月18日に文部科学省が策定した。

2016年9月に設置された「教育情報セキュリティ対策推進チーム」による、今後の学校における情報セキュリティの考え方についての検討内容を踏まえたものとなっている。
このガイドラインでは、地方公共団体が設置する学校を対象に、情報セキュリティポリシーの策定や見直しを行う際の参考となるよう、学校における情報セキュリティポリシーの考え方及び内容についての解説が記されている。
ただし、あくまでも個別の学校で取り組むのではなく、教育委員会および自治体の首長部局にて取り組む見解で構成されている。
詳しくは当シリーズの第3回記事「文科省「教育情報セキュリティポリシーに関するガイドライン」に込められた意図とは?」を参考にしてほしい。

このうち認証について言及されているのが「2.4.4」の項目「教職員等が利用するパソコン、モバイル端末及び電磁的記録媒体等」だ。
ここでは、教職員等が利用するパソコン、モバイル端末及び電磁的記録媒体等の不正利用、紛失、盗難、情報漏えい等の被害を防ぐため、盗難や情報漏えいの防止策、持ち出し・持ち込み等に関する対策を規定している。
そして認証に関しては、教育情報システム管理者に対し、取り扱う情報の重要度に応じて、パスワード以外にも、「推奨事項」として、生体認証や物理認証等の二要素認証を設定しなければならないとしている。
さらに二要素認証に当たっては、知識認証、生体認証(指紋、静脈、顔、声紋など)、物理認証(ICカード、USBトークン、トークン型ワンタイムパスワード等)のうち、異なる認証方法2種類を組み合わせた二要素認証を利用することによって、よりセキュリティ機能は強化されることになると解説されている。
2種類の異なる認証方法を組み合わせる点は推奨事項の解説として記されているため、各自治体のセキュリティに対する姿勢が問われることとなるだろう。

なお、これは生徒たちの成績や家庭の情報を含めた個人情報を取り扱うシステムや端末、そして行政ネットワークを利用する際の認証に関する対策であり、生徒が使用する教材用端末やネットワークについては含まれていないので、ご注意いただきたい。

技術的対策と人的安全対策の組み合わせを強調
【医療情報システムの安全管理に関するガイドライン】

医療情報システムの安全管理に関するガイドライン」は厚生労働省管轄の医療情報ネットワーク基盤検討会が定めるもので、文字通り医療情報システムを利用するうえでの安全管理に関する内容が記されている。
ここで言う「医療情報システム」とは、医療機関等のレセプト作成用コンピュータ(レセコン)、電子カルテ、オーダリングシステム等の医療事務や診療を支援するシステムだけではなく、何らかの形で患者の情報を保有するコンピュータ、遠隔で患者の情報を閲覧・取得するコンピュータや携帯端末なども含まれる。
さらに、患者情報の通信が行われる院内・院外ネットワークも対象となっている。
また、ガイドラインの対象の範囲も広く、病院、一般診療所、歯科診療所、助産所、薬局をはじめ、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等の電子的な医療情報の取扱いに係る責任者となっている。
このためクラウド環境で医療情報システムサービスを提供する事業者も、このガイドラインの対策項目を満たすことが求められている。

2005年に第一版が公開されて以後改定を続けており、現在は2017年5月に公表された第5版が最新版となっている。
第5版では、医療機関を対象としたサイバー攻撃の脅威の増大や、改正個人情報保護法への対応なども図られている。

このうち認証に関しては、「6.5」の項目「技術的安全対策」の中で「運用時における利用者の識別と認証、アクセスの記録(アクセスログの取得)」として明記されており、その具体的な内容が示されている。
まず、情報システムへのアクセスを正当な利用者のみに限定するために、情報システムは利用者の識別と認証を行う機能を持たなければならないとしている。
そして認証を実施するためには、情報システムへのアクセスを行う全ての職員及び関係者に対してID・パスワードや、ICカード、電子証明書、生体認証など、本人の識別・認証に用いる手段を用意し、統一的に管理する必要があると示している。

認証に用いる手段としては、

・ID・パスワードの組み合わせのような利用者の「記憶」によるもの
・指紋や静脈、虹彩のような利用者の生体的特徴を利用した「生体計測」(バイオメトリクス)によるもの
・IC カードのような「物理媒体」(セキュリティ・デバイス)によるもの

の3つが一般的であるとし、認証におけるセキュリティ強度を考えた場合、これらのいずれの手段であっても、単独で用いた場合に十分な認証強度を保つことは一般には困難であるという姿勢が示されている。
そのためガイドラインでは、前述の3つの認証方式を組み合わせ、2つの独立した要素を用いて行う二要素認証を採用することが望ましいとしている。

ただし、物理的なセキュリティ対策との組み合わせによる二要素認証についても認められており、該当する情報システムに接続するための端末やネットワークへの認証においては二要素認証が成立していない場合でも、その端末やネットワークのある区画への入場に当たって認証を行うことで、「入場時+端末・ネットワーク利用開始時」のすべての工程を含めて二要素認証となっていれば、二要素認証と同等と考えてよいとしているのである。

なお、現時点では二要素認証の実装は推奨事項にとどまっているものの、今後の認証技術の普及などを踏まえて、この第5版の公表から約10年後を目途に「最低限のガイドライン」、つまり必須事項となることが明記されている。

ちなみに、「バイオメトリクスを利用する場合の留意点」として、生体情報特有の問題点が挙げられているのは、医療業界らしいといえる。

本ガイドラインでもまた「教育情報セキュリティポリシーに関するガイドライン」と同様に二要素認証もしくは多要素認証は推奨事項に留まってはいるものの、電子的な医療情報を扱う際の責任のあり方や人的安全対策に関する内容も詳細にわたっている。
医療情報という極めてクリティカルな情報を扱うことへの配慮がうかがえる。

今回は「教育」と「医療」という2分野におけるセキュリティガイドラインにおける「認証」の扱いについて紹介した。
いずれも個人情報を扱う場合には「二要素認証」を推奨している点が共通しており、現在のトレンドが感じられる。

次回は、引き続き残る3つのセキュリティガイドライン「府省庁対策基準策定のためのガイドライン」、「中小企業の情報セキュリティ対策ガイドライン」、「PCI DSS」について読み解いていきたい。

【著者プロフィール】

企業IT・地方自治体系ライター 小池晃臣(株式会社タマク代表)
元地方自治をテーマとした月刊誌の編集者&エンタープライズIT雑誌の副編集長。現在はフリーとなり、主に企業や公共機関のIT活用事例の取材、経営者や首長へのインタビューを中心に活動。唯一の自慢は、日本の全都道府県庁所在地制覇。
現在、月刊「自治体ソリューション」(ぎょうせい)にて、自治体によるAIやIoT活用の取り組み事例を追う「イノベーションでソリューション」を連載中。

>各セキュリティガイドラインにおける「認証」システム構築のポイント(後編)【セキュリティ対策ヒストリー&モデル:第5回】
>「セキュリティ対策ヒストリー&モデル」記事一覧