政府機関のWeb／メールサーバー、計2900台を集約化して半減へ

　政府の情報セキュリティ政策会議が22日に第22回会合を開催し、情報セキュリティ政策に関する年次計画「セキュア・ジャパン2009」を決定した。また、政府機関が保有する多数のWebサーバーとメールサーバーを集約化し、2013年度末までに半減するとの目標も決定した。

●2009年度は「事故前提社会」の共通認識の形成目指す

24日に記者説明会を行った、内閣官房情報セキュリティセンター（NISC）の関啓一郎内閣参事官（左）、伊藤毅志内閣参事官（中）、上原仁内閣参事官（右）

　「セキュア・ジャパン2009」は、情報セキュリティ政策会議が2月に決定した「第2次情報セキュリティ基本計画」に基づく最初の年次計画にあたるもの。同基本計画では、今後3年間の取り組みの方向性として、1）「事故前提社会」への対応力強化のための基盤づくり、2）「合理性に裏付けられたアプローチの実現」への取り組みの開始、3）現下の経済情勢への対応を支える取り組みの推進――という3つの柱を掲げている。

　「セキュア・ジャパン2009」ではこれを受け、2009年度の重要施策などをとりまとめた。「すべての主体に事故前提の自覚を」というサブタイトルが付いており、まずは最初の段階として、政府機関・地方公共団体、重要インフラ、企業、個人という4つの主体に対して、新たな柱である「事故前提社会」の共通認識を形成することとしている。

　「事故前提社会」という言葉に込められたメッセージとして、内閣官房情報セキュリティセンター（NISC）の関啓一郎内閣参事官は「事故は事前対策ですべて防止できるという誤った考え、つまり日本社会にありがちな無謬性神話を否定したもの」と説明する。事前対策を行ったということで安心してしまうと、問題が起きた時の対応がおろそかになり、事業の回復や継続ができなくなることを指摘。事前対策はもちろん必要だが、残るリスクもあるとして、事故が起こりうることを前提として、思考停止に陥らないようにすることの重要性を訴えた。

●4月の政府機関サイト改ざんで、サーバー集約計画が具体化

　NISCが2008年に行った政府機関19府省庁（本省、地方分局など含む）の情報システムの重点検査では、端末やサーバーのセキュリティ対策や管理体制について調査したが、政府機関全体で多数の公開サーバーを保有していることも判明。2008年11月1日時点でWebサーバーが約1000台、メールサーバーが約1900台あり、こうした多数のサーバーを統制なく設置・運用することで、コストが増大するだけでなく、障害や事故などの緊急時に迅速な対応が困難になっていることなど、情報セキュリティ面での問題があることも指摘されていた。

　情報セキュリティ政策会議では、政府機関の情報システムの最適化計画にもすでに取り組んでいたが、2009年4月、政府機関のWebサイトが相次いで改ざんされた際に、対応の遅れや不備が目立ったことが契機となり、今回、具体的なサーバー集約化の目標を決定するに至った。現在、合計2900台あるWeb・メールサーバーを集約化し、2013年度末までに少なくとも半減することを目指す。各府省庁が2009年中に集約化計画を策定し、情報セキュリティ政策会議に報告してもらう。また、障害・事故発生時の緊急連絡体制についても再確認する。

　4月に発生した国土交通省の「調達情報公開システム」ページの改ざんでは、4月11日にNISCから連絡を入れたものの、週末の土曜日だったため担当者がつかまらず、システムの停止措置をとったのが翌12日になってしまったという。また、4月13日には厚生労働省大分労働局の一般には公開されていないページが改ざんされていることが判明し、NISCから通知。同日中にシステムを停止していたが、実は支局側ではすでに4月7日に不正アクセスがあったことを把握していたにもかかわらず、本省に報告していたかったという。

　伊藤毅志内閣参事官は、各部署がそれぞれサーバーを設置している現状では、現場担当者がサーバー運用に深い知識のないまま運用されている可能性があると説明。集約化することで、システム中枢部門の担当者が常時監視できるようになり、障害・事故発生時の対応も迅速化できるものとみている。

　第22回会合では、河村建夫内閣官房長官が「サーバー集約化はぜひとも実現させなければいけないが、単なる数合わせではなく、電子政府の構築の加速化につなげることが必要」ともコメントしたという。