1. はじめに
地方公共団体情報システム機構情報化支援戦略部セキュリティ支援担当では、地方公共団体及び関連組織で発生したインシデントに関する情報の収集と分析を行っています。本稿では、地方公共団体から報告された情報セキュリティインシデントの内容を集計し、令和元年度における情報セキュリティインシデントの傾向を紹介します。
2. 情報漏えい事故の傾向
令和元年度に地方公共団体から報告された情報漏えい事故について、情報漏えいが発生した区分(経路)は図-1のとおりでした。
最も多い区分が、USBメモリや紙媒体など記録媒体の紛失、次いでメールの誤送信となっており、この2つで全体の約50%を占めます。この2つが上位を占める傾向は例年どおりです。引き続き記録媒体の保管場所や持出しのルール、メール送信時のルールを守ることを徹底していただくことを心掛けてください。
また、「その他」とされているものの多くが、郵送物の宛先間違いや行政書類の誤発行などでした。
なお、情報を流出させた者の属性を見ると、そのほとんど(約85%)が地方公共団体職員であり、職員の操作ミスやルールの不徹底による情報漏えい事故が目立ちます。
また、一部では、民生委員等の地方公共団体職員ではないものの、定期的に地方公共団体から個人情報等の提供を受ける個人による情報漏えい事故も発生しております。民生委員や統計調査員等の個人情報を預ける個人に対しても、情報の取扱い等について注意喚起をお願いいたします。
一方で、委託先及び再委託先事業者による情報漏えい事故は全体の約11%に留まっており、多くの団体で委託先管理等が適切に行われていると考えられます。
情報漏えい事故を100%防ぐことは難しいですが、1つひとつの作業を確実にこなすことが情報漏えい事故を防ぐことにもつながりますので、慣れている作業においても、確認作業を怠らずに行いましょう。
図-1 情報漏えい流出区分
3. IT 障害の傾向
令和元年度に地方公共団体から報告されたIT障害について、その発生の原因区分別の割合は図-2のとおりでした。
「機器等の故障」によるIT障害事故の発生が全体の 31%で最も多く、次いで「外部委託先の管理ミス」「システムの脆弱性」が上位の発生原因となっております。
また、「不審メール等の受信」や「DoS 攻撃等の大量アクセス」など意図的な要因によるIT障害は全体の約17%、「機器等の故障」や「システムの脆弱性」など偶発的な要因によるIT障害は全体の約61%となっております。
平成30年度の発生原因上位3項目と比較すると「機器等の故障」によるIT障害発生の割合が大きく増加したことがわかります(表)。これは、地方公共団体向けの共同利用型クラウド基盤の不具合に起因するIT障害が多くの地方公共団体に影響があったためと考えられます。
令和元年度はクラウドサービスの障害が大きな話題となりました。今後もクラウドサービスの利用が増加すると考えられますが、万が一クラウドサービスに障害が発生した場合でも業務を継続できるような対策を施していくことをご考慮ください。
図-2 IT障害 発生原因の分類
表 IT障害発生原因上位3項目
4. おわりに
今回は令和元年度に地方公共団体で発生した情報セキュリティインシデントの傾向についてご紹介しました。各団体におかれましては、インシデントを未然に防ぐため、適切かつ継続的に対策を講じていただきますようお願いいたします。