【連載第3回】自治体職員のための情報セキュリティ研修：なぜ今、公的機関が狙われるのか？【連載第3回】自治体職員向けセキュリティ研修：なぜ今、公的機関が狙われるのか？

自治体や公的機関を取り巻くサイバー攻撃の脅威は、年々巧妙化しています。

本連載では、全15回にわたり、現場の職員が今日から実践できる情報セキュリティの基礎知識を解説します。

本連載について

本連載は、現在STORESで販売中の『自治体・公的機関向け情報セキュリティ研修動画パッケージ』の講義内容を全編書き起こしたものです。

研修の導入をご検討中の担当者様は、内容の確認用としてご活用ください。

[→ 動画パッケージの詳細・販売ページはこちら（STORES）]

講義3：「信頼できるサービス」を見分ける重要性

講義3：「信頼できるサービス」を見分ける重要性

皆さん、お疲れ様です。

講義2では、私たちを狙う恐ろしいサイバー攻撃の現状についてお話ししました。

「そんなに攻撃が巧妙なら、どうやって身を守ればいいの？」と不安になった方もいるかもしれません。

その答えの一つが、「最初から、国や国際基準が認めた『信頼できるサービス』を使うこと」です。

皆さんは普段、スーパーで食材を買うとき、無意識に「産地」を確認したり、「JASマーク」のような安全の印を探したりしませんか？

あるいは、電化製品を買うときに「PSEマーク」がついているか確認することもあるでしょう。

それと同じことが、実はインターネットの世界、特に「クラウドサービス」にもあるんです。

なぜ「便利」だけではダメなのか

仕事をもっと効率化したいと思って、個人で使っている便利な無料アプリや、ネットで見つけた翻訳サイトを「これ、いいな」と業務に使いたくなることがあるかもしれません。

いわゆる「シャドーIT」と呼ばれる行為です。

でも、そこには大きな落とし穴があります。

そのサービスを作っている会社が、預かったデータをどう管理しているのか。

悪意のある第三者に盗まれないような対策をしているのか。

それを私たちが一つひとつ、個人の力で確かめるのは不可能です。

もし、セキュリティが甘いサービスに業務データを入力してしまったら、その瞬間に情報漏洩が始まってしまうかもしれません。

専門家がチェックする「安全の印」

そこで登場するのが、「ISMAP（イスマップ）」や「ISO27017（アイエスオー27017）」といった、少し難しい名前の認証制度です。

これらを一言で言うと、「厳しい試験をパスした、お墨付きのサービス」のことです。

ISMAP（イスマップ）： これは日本政府が作った制度です。「政府が使っても安心ですよ」と認めたサービスだけが載れる、いわば「ホワイトリスト」のようなものです。
ISO27017： こちらは世界共通のルールです。クラウド特有のリスク（例えば、他の利用者のデータと混ざらないか、など）に対して、しっかり対策をしていることを証明するマークです。

これらのマークを取得するためには、企業の裏側で何百もの厳しいチェック項目をクリアし、莫大な手間とコストをかけてセキュリティを維持し続ける必要があります。