佐賀県教委事案:情報セキュリティ監査が実施されていなかった

佐賀県学校教育ネットワークからの情報漏洩事案において、ネットワークの内部監査を行っておらず、内規違反である旨の報道がありました。

報道では各システムやネットワークにおいて監査を受けていなかったことが問題視されているような感触を受けますが、そうではなく、佐賀県庁全体として監査の実施体制が構築されていたかが問われているように思います。

つまり、各システムでの責任なのか、組織としての責任なのかという問題です。

佐賀県教委 ネットワークの内部監査行わず | NHKニュース

事件を受けて、佐賀県教育委員会が調べたところ、県立の学校45校で導入されているネットワークで、少なくとも過去3年間は1度も内部監査が行われておらず、今後も行われる予定がなかったことが分かりました。

佐賀県では、情報セキュリティーを守るため、県が導入したシステムやネットワークについて、定期的に内部監査を受けるよう「佐賀県情報セキュリティ基本方針」で定めていて、この規定に違反した状態が続いていたということです。

一方で「佐賀県情報セキュリティ基本方針」では、以下のように記載されています。

佐賀県:佐賀県情報セキュリティ基本方針

10 監査

情報セキュリティが確保されていることを確認するため、定期的に監査を実施する。

定期的に監査を実施することは規定されていますが、基本方針からでは「定期的に内部監査を受けるよう」定めていて「この規定に違反した状態」であった、とは直ちに言えません。 そもそも方針はあくまで方向を指し示すものであって、具体的な内容はセキュリティ対策規準や実施手順を定めることになります。 佐賀県においてもセキュリティ対策規準や実施手順はあったようですので、そこでどのように規定されているかによります。

佐賀県の情報セキュリティ対策規準は公開されていません。 おそらく総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考にしていると思われるので、これを確認してみます。 ただし、総務省ガイドラインは平成27年3月に改定されており、佐賀県の対策規準がこの改定内容を反映しているかは不明です。

総務省ガイドラインでは、「3.9.1. 監査」に監査実施の記載があります。

【例文】

(1) 実施方法

CISO は、情報セキュリティ監査統括責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。

(2) (引用省略)

(3) 監査実施計画の立案及び実施への協力

1 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

2 被監査部門は、監査の実施に協力しなければならない。

ここでは、CISOが情報セキュリティ監査統括責任者に監査を行わせなければならない旨の、対策規準の例文が示されています。 また、情報セキュリティ責任者は監査実施計画を立案しなければなりません。

佐賀県においてセキュリティ監査の実施体制が構築されていたか、監査実施計画があったかは、教育委員会にとどまらず、佐賀県庁全体に対して問われることになります。