オーストラリアの情報セキュリティ政策

2001年のアメリカ同時多発テロ事件を契機に、オーストラリアでは自国の重要なインフラを保護するべく、それまでは政府機関個々にしかなかった情報セキュリティに関する取り組みを全国的なものにするための対策を強化している。

電子政府先進国として名高いオーストラリアには、同テロ事件が起こるまで、情報セキュリティに関する組織立った取組みは存在しなかった。連邦政府による機密情報管理のための取組みや各州政府による個別の取組みはあったものの、それらはオーストラリア全土を包括するものではなく、緻密性や厳格さにおいても十分とは言えなかった。また地方自治体においても、一部の大規模自治体が独自の方針を策定するのみで、小規模自治体では情報セキュリティ政策さえ導入されていなかったのである。今日、同国は全国的な情報セキュリティ戦略を策定し、現在では地方自治体にも浸透している。

2.情報セキュリティ・マネジメント体制

オーストラリアにおいて、情報セキュリティに関する中心的な役割を担っているのは、国防省の下部組織である国防信号局（DSD：Defence Signals Directorate[英語サイト] ）である。DSDは電子的な諜報と情報安全保障に関するオーストラリアの国家機関であり、具体的には次の2つの主要な役割を果している。

(1)オーストラリア連邦政府及び国防省に対する、情報セキュリティ製品及びサービスの提供

(2)電子的な諜報活動の責任機関として、海外の機密情報の収集及び関係機関への提供

DSDの中でも、上記(1)に関連し国家の情報通信システムの保全に関して、重要な役割を果たしているのが「Information Security Group」である。同グループは、連邦及び州政府に対し、次の2つのサービスを提供している。

(1)電子情報のセキュリティや保全に関する資料の提供、アドバイス、支援

上記の連邦政府機関や権威当局に対するサポートに加え、同グループは、新しい暗号製品の開発に関して、産業界と協業する上で重要な役割を果たしている。情報セキュリティ製品の評価に対する需要増大に対応して、DSDは1995年にその評価プログラムであるAISEP（Australasian Information Security Evaluation Programme[英語サイト] ）を策定したが、同グループはその運営管理も行っている。

3.情報セキュリティ指針

オーストラリアにおけるセキュリティ指針としては、次の2つが重要である。

下記(1)のPSMは、オーストラリア政府機関が遵守すべきセキュリティに関する全般的な規定であり、オーストラリア司法省が発行している。その中でも情報セキュリティ分野に関しては、同分野を所管するDSDが、下記(2)のACSI 33を最重要指針として定めている。

・司法省が発行した本指針は、オーストラリアの公的資源を守るために、オーストラリア政府機関が遵守すべき防御セキュリティに関する方針、原則、標準及び手続について記載されている。具体的な内容は次の通りである：

・特に情報セキュリティに関しては、下記(2)のACSI 33と内容が重複することがないよう、機密情報（電子的・紙ベース両方）の保護に関する最低限の防御標準を提供している。

(2)The Australian Government Information and Communications Technology Security Manual（ACSI 33[英語サイト]）

・DSDが発行した本指針は、オーストラリアの政府機関が、所有する情報通信システムをどのように保護すればよいかについて、そのためのアドバイスと情報を提供するもので、現在半年毎に見直され更新されている。

・ACSI 33には、政府機関同士或いは政府と民間サービスプロバイダ間における情報交換・データ交換において、保証された情報セキュリティ環境を達成するために準拠すべきセキュリティ標準が定義されている。具体的な内容は次のとおりである：

・ACSI 33は、全てのオーストラリア政府機関の防御セキュリティ指針の基となっており、それぞれの機関は、ACSI 33に準拠し、所有する情報システムのセキュリティを維持するための適切な政策及び手順を策定することが義務付けられている。また州政府が情報セキュリティ政策を策定する際にも、ACSI 33に準拠するよう全豪地方自治体協会（ALGA：Australian Local Government Association）が勧告している。

4.情報セキュリティポータル「OnSecure」

世界の中でも特徴的な点は、オーストラリアには政府が運営する情報セキュリティに関するポータルサイト「OnSecure[英語サイト]」が存在することである。

OnSecureは、DSDと財務管理省下のオーストラリア政府情報管理局（AGIMO：Australian Government Information Management Office）との共同プロジェクトにより2003年12月に誕生した。本サイトの第一目的は、オーストラリアの公共サービス向上のために、セキュリティ・インシデントに関する情報を収集することであるが、その情報をワンストップで提供するオーストラリア政府のポータルサイトとしても重要な役割を担っている。

OnSecureが整備されるまでは、オーストラリアの政府機関が情報セキュリティ・インシデントについて報告する場合、文書を郵送或いはFAXで送る方法しかなかった。同サイトの整備により、各政府機関は迅速且つ安全にオンラインでインシデントの報告が実施できるようになり、またそれらを受けるDSD側にとっても、それぞれのインシデントを監視し、その発現パターンを分析することにより、インシデントの管理がより効率的に行えるようになったのである。

OnSecureは、政府機関が活用する非公開の部分と公開されている部分とに分かれている。公開されている部分に関しては、あらゆるインターネットユーザ向けの情報セキュリティに関する情報リソースとなっており、民間サービスプロバイダに対しても情報セキュリティに関わる情報提供を行っている。

5.情報セキュリティ監査制度

オーストラリア国家監査局（ANAO：Australian National Audit Office[英語サイト]）は、会計検査のほか、オーストラリア政府の情報システム関連予算と投資結果に関して毎年多くの監査を実施しており、情報セキュリティ監査についても実施責任を持っている。現在、情報セキュリティについて全国的・統一的な監査の仕組みは存在しないが、オーストラリア政府機関の情報セキュリティ政策の実施状況に関する監査をアドホックに実施してきた。なお、過去10年間の監査記録がANAOのウェブサイトで検索可能となっている。

表1：ANAOによる情報セキュリティ監査の実績（過去5年度）

年度	報告書NO.	内容
2007/2008	2	Electronic Travel Authority Follow-up Audit（電子入国認可システム（ETA）追跡監査）
	17	Management of the IT Refresh Programme（IT刷新プログラム管理）
	81	Proof of Identity for Accessing Centrelink Payments（Centrelink（社会保険事務所）へのアクセスにおける本人確認）
2006/2007	43	Managing Security Issues in Procurement and Contracting（調達と契約におけるセキュリティ管理）
	61	Recordkeeping including the Management of Electronic Records（電子記録管理）
	131	Management of an IT Outsourcing Contract - Follow-up（ITアウトソーシング契約管理-追跡監査）
2005/2006	23	IT Security Management（情報セキュリティ管理）
	29	Integrity of Electronic Customer Records（電子顧客記録の統合）
	45	Internet Security in Australian Government Agencies（オーストラリア政府機関のインターネット・セキュリティ）
2004/2005	24	Integrity of Medicare Enrolment Data（医療記録の統合）
	26	Measuring the Efficiency and Effectiveness of E-Government（電子政府の効果と効率の評価）
	41	Administration of Security Incidents, including the Conduct of Security Investigations（セキュリティ調査の実施を含むセキュリティ・インシデントの管理）
2003/2004	27	Management of Internet Portals at the Department of Family and Community Services（家族地域省のインターネットポータル管理）
	30	Quality Internet Services for Government Clients - Monitoring and Evaluation by Government Agencies（政府機関に向けたインターネットサービスの質-政府機関による監視と評価）
	55	Management of Protective Security（防御セキュリティ管理）

（出典：ANAO監査レポート一覧[英語サイト]）

6.オーストラリアの情報セキュリティ事例に学ぶ

これまで報告したとおり、オーストラリアの情報セキュリティ政策は、その政府機能・体制及び指針が整備されており、更にワンストップポータルサイト「OnSecure」の整備等、情報セキュリティに関するサービスを提供するための基盤も用意されている。

例えばOnSecureの整備のように、電子政府における情報セキュリティに関しては、電子政府推進機関であるAGIMOとDSDが協調して施策を実施することもあり、情報セキュリティに関する責任機関については明確にしつつ、個別施策の実施においては省庁横断で対応している。それが本来最も効率的かつ効果的な姿であると言えよう。また、プロジェクトごと、政府機関ごとには情報セキュリティ監査の仕組みもあり、セキュリティ戦略の策定、実施から評価まで、Plan-Do-Seeのマネジメントサイクルが回る仕組みも整備されていると言える。

オーストラリアでは、その歴史的な背景から、州政府ごとに取組む政策が異なり、その基本法規である州憲法をそれぞれが持つなど、統一的な政策を導入することが容易でない土壌にある。しかしながら、米国の同時多発テロ事件を契機に、対テロに向けて全国的な情報セキュリティ戦略を策定すると共に、州政府や地方自治体にもその政策を浸透させていくなど、国としての機動力には目を見張るものがある。

日本では、2003年に我が国初の統一的且つ総合的な情報セキュリティに関する戦略である「情報セキュリティ総合戦略」が策定された。また、2004年12月のIT戦略本部の決定である「情報セキュリティ問題に取組む政府の役割・機能の見直しに向けて」を受けて、同問題に関する政府中核機能の強化のために政府機能・体制等を整備している（※注1)。これによって政府レベルの体制は整備されてきたものの、地方自治体まで十分に浸透しているとはいえない状況にある。日本が情報セキュリティ政策を推進する上で、政府としての機動力、そして省庁間の連携方法等、オーストラリアの事例に学ぶべき点は多い。

※注1：
・2005年4月、内閣官房情報セキュリティセンター（NISC：National Information Security Center）を設置
・2005年5月、IT戦略本部の下に「情報セキュリティ政策会議（議長：内閣官房長官）」を設置

【2008年5月執筆・編集：株式会社NTTデータ、株式会社NTTデータ経営研究所】