LGWAN接続系端末のUSB制御に関する国の要件を分析してみた

強靭化対応におけるLGWAN接続系端末のUSB制御について、私の関わっている自治体については大方USB制御が可能なソリューション(主に資産管理システム)を導入して、USB利用ログの取得や特定のUSBのみが利用可能なように制御するように検討もしくは既に実施しています。ただ、中には予算の都合でUSB制御が可能なソリューションの導入ができない自治体も存在しています。

目次

とりあえず国の要件はどうなのか分析してみる

2016年1月に開催された「地方公共団体情報セキュリティ強化対策費補助金」に係る説明会での資料の抜粋から分析してみることにします。(公式文書が他に無い)

個人番号利用事務ネットワーク

<要件>
USBメモリ等の外部記憶媒体による端末からの情報持ち出しができないように設定すること
<要件の実現方法>
媒体等による情報持ち出しを禁止する機能を導入し設定すること
<備考>
(例外取扱)納付書など大量帳票のアウトソーシングや指定金融機関に対する口座振替情報の提供など止むを得ない場合においては、管理者権限を持つ職員によってその都度限定を解除する、または管理者権限を持つ職員のみに許可する設定とすること。

出典:自治体情報システム強靱性向上モデル 要件シート

まずは、個人番号利用事務について比較の為に分析してみます。「情報持出しを禁止する機能を導入し設定すること」「媒体等による情報持ち出しを禁止する機能を導入し設定すること」とあり、国は明確に何らかのソリューションで「設定」をしろと見解を示しています。たしかに、個人番号を含む住民の個人情報がある領域なので持出制御をする価値は大いにあります。また、備考にUSBの利用が業務上止むを得ない場合は、「管理者権限を持つ職員によってその都度限定を解除する、または管理者権限を持つ職員のみに許可する設定とすること」とあり非常に具体的です。

LGWAN接続系

<要件>
①USBメモリ等の外部記憶媒体等による端末からの情報持ち出しは管理すること。併せて、端末等からのマルウエア感染を防ぐ入口対策にも十分留意すること。
<要件の実現方法>
①媒体利用を管理・制限する機能等を導入する。
データがその他業務の端末で利用が必要な場合は備考の処置を実施すること。
個人番号に関わるデータについては、個人番号利用事務の備考と同等の対応をすること。
<備考>
・データ受け渡しによる媒体利用の必要がある場合は、以下の条件を満たすこと。管理負荷を考慮し、セキュリティソリューション等の導入を推奨する。
‐端末には利用許可された媒体のみ接続可能とすること。
‐データは暗号化しパスワードを設定すること。
‐(推奨)利用媒体は、全て管理し利用履歴を残せること。
‐(推奨)データの受け渡しには、必ず上司の承認と承認記録を残すこと。

出典:自治体情報システム強靱性向上モデル 要件シート

さて、分析対象のLGWAN接続系ですが、要件に「情報持ち出しは管理すること」となっていて、個人番号利用事務が「設定」であるのに対して「管理」と表現が異なっています。個人番号利用事務と同じ様にソリューションで制御設定をさせようとした場合、表現をあえて変えないと思いますので、LGWAN接続系は必ずしもソリューションを導入する必要はない事がいえると思います。また、備考に「セキュリティソリューション等の導入を推奨」と記述してあることからもソリューションによるUSB制御の必要性は必ずしも無いと解釈できます。

結論

国の要件では、LGWAN接続系にUSB制御ソリューションを導入する必要はない(ただし導入を推奨)

コメント

コメント一覧 (2件)

  •  USB制限について、最近はウィルス対策ソフトにUSB書き出し制御機能があるので、高いソフトを利用しなくても、とりあえずUSB制御はできそうです。(ただ、使い勝手はいまいち?)
     小さい町村ではわかりませんが、市とかであればウィルス対策も管理サーバで集中管理していると思いますので、USB制御の機能について確認してみると、意外に費用をかけずに対処できるかもしれません。

    • なるほど、既に導入済みのウイルス対策ソフトの機能でUSB制御をするわけですね。有益な情報ありがとうございます。早速検討してみます。

yamaP へ返信する コメントをキャンセル

目次