インシデント

情報システムを運用していれば、不正アクセスやマルウェア感染、データの漏えいなど望ましくない事態は完全には避けられない。インシデントは、こうした情報セキュリティ上の事故や、事故に至るおそれのある事象の総称であり、起きたかどうかだけでなく、起きた後にいかに迅速かつ的確に対応できるかが被害の大きさを左右する。

自治体では、住民の個人情報を大量に扱うため、インシデントが発生すれば住民への影響と信頼の失墜が大きく、発見・報告・初動対応・復旧・再発防止までの一連の流れをあらかじめ手順として定めておく必要がある。この対応を担う専門チームがCSIRT（シーサート）であり、相当数の自治体が自治体CSIRTを設置して、検知から関係機関への報告、原因究明、住民への説明までを一元的に担う体制を整えている。総務省の情報セキュリティポリシーガイドラインでも、インシデント発生時の報告経路と対応体制の整備が求められており、平時の訓練と事後の振り返りで対応力を高めることが運用の中心となる。

インシデントの種類と対応の流れ

情報セキュリティインシデントには、外部からの不正アクセスやサイバー攻撃、マルウェアやランサムウェアへの感染、メール誤送信や媒体紛失による情報漏えい、システムの停止・障害、内部者による不正な持ち出しなどが含まれる。実際の事故だけでなく、不審なログの検知や攻撃の予兆など事故につながりうる事象も対象に含めて早期に把握することが、被害の最小化につながる。対応は一般に、検知・受付、初動対応（被害拡大の防止と証拠の保全）、原因の調査、復旧、再発防止策の策定、関係者への報告という流れで進む。とくに初動で感染端末をネットワークから切り離すなどの封じ込めが遅れると、被害が組織全体に広がるため、誰が何をするかを事前に決めておくことが重要である。

CSIRTによる対応体制と自治体の実務

インシデントへの対応は、CSIRT（Computer Security Incident Response Team）と呼ばれる専門チームを中核に組み立てられる。CSIRTは、インシデントの受付窓口となり、検知・分析、初動対応の指揮、外部機関との連絡、再発防止策の取りまとめを担う。自治体では自治体CSIRTを設置し、庁内各部署からの報告を集約するとともに、都道府県や国の関係機関、地方公共団体情報システム機構（J-LIS）等と連携して対応にあたる。住民の個人情報が漏えいした場合には、個人情報保護委員会への報告や本人への通知が法令上必要となる場合があり、平時から報告経路と判断基準を整理しておくことが欠かせない。発生したインシデントの記録を残し、対応を振り返って手順を改善する取り組みが、次の事故への備えとなる。