登録会員限定記事 現在はどなたでも閲覧可能です
Webサイトの安全性を確保するのはデータの機密性などを確保する「情報セキュリティ」の問題と考えられがちだ。だが筆者は、あらゆる人に安心し信頼してもらえるようにするという意味で「トラスト」をどう確保するのかという問題だと考える。
トラストの確保が必要なのは自治体のWebサイトに限らない。企業のWebサイトやIoT(インターネット・オブ・シングズ)、人工知能(AI)といったIT全般に及ぶ。将来はトラストを確保したITサービスだけが生き残れるようになるのではないか。
自治体相手のベンダーは「トラスト」に疎い?
総務省は2018年9月、自治体に関係するサイトについて常時SSL/TLSに対応するよう都道府県に通知を出した。同省によると、同月に改定した「地方公共団体における情報セキュリティポリシーに関するガイドライン」に盛り込んだ注記を根拠に通知を出したという。
ガイドラインの注記は自治体がインターネットに公開するWebサイトについて次のように書いている。「転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じることが望ましい」――。
実は同じ文言は、政府のサイバーセキュリティ戦略本部が2018年7月に規定した府省庁などの情報セキュリティ対策を定めた「統一基準」に登場する。
統一基準は「サービスの利用者の側に立った対策」として、「全Webサイト及び電子メール通信の暗号化対応の義務化」を明記した。つまり国内の行政機関のWebサイトは、利用者のために「全て」常時SSL/TLSの導入が求められるようになったわけだ。利用者のためという点が従来の情報セキュリティ対策と異なる。
日本情報経済社会推進協会(JIPDEC)とフィードテイラーが2018年6月に公表した、全国の都道府県と市区町村を合わせた1788団体における常時SSL/TLSの対応状況を調査した結果によると、対応済みの割合は37.4%と低調だった。
自治体ITに詳しい関係者は「自治体向けガイドラインの影響は広範囲に及ぶ」と見る。実際、電子証明書の発行を手掛けるGMOグローバルサインは「総務省の通知が出てから地方のシステムベンダーから問い合わせが殺到した」と明かす。
自治体ITに詳しい関係者によると、自治体の基幹システムの構築などを手掛けるベンダーはWebサイトには詳しくないケースが少なくないという。しかも自治体の発注担当者も仕様書で単に「Webサイトのセキュリティ対策」と求めるだけで詳しくない。結果、Webサイトを構築するベンダーと、Webサイトのコンテンツを作成するベンダーのどちらが常時SSL/TLSを担うのかはっきりしない場合もあるという。
ユーザー側にもスキルがなく丸投げするのも問題だが、セキュリティの意識と技術力の高いベンダーは常時SSL/TLSの導入をユーザーに勧める一方で、何ら対策を促さないベンダーもいるという。
