○東近江市住民基本台帳ネットワークシステム緊急時対応計画書
平成17年2月11日
訓令第22号
〔障害対応編〕
1 計画の趣旨
本計画は、東近江市危機管理対応要綱(平成17年東近江市訓令第4号)に基づき、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の構成機器に係る障害により住民サービスの停止又は本人確認情報に脅威を及ぼす場合若しくはそのおそれがある場合(以下「緊急時」という)において、障害による被害を未然に防ぎ、又は被害の拡大を防止し、早急な復旧を図ることを目的として定める。
2 障害時の対応
(1) 障害の特定
各担当者は、障害の種類及び障害箇所を特定する。サーバの障害による場合には、関係部署へ暫定的な対応を行うことを依頼する。
障害の種類とは、以下の3種類がある。
障害の種類 | 事象 |
ハードウェアの障害 | 故障等 |
ソフトウェアの障害 | バグ等 |
ネットワークの障害 | 交換機の故障 構内回線切断 |
(2) 原因の究明
各担当者は、下記に定めた手順例により原因を究明するものとする。
障害の種類 | 手順例 |
ハードウェアの障害 | 電源スイッチ及びコンセントの確認 警告ランプの確認 形状異常の確認等 |
ソフトウェアの障害 | バグ情報の確認等 |
ネットワークの障害 | 電源スイッチ・コンセントの確認 警告ランプの確認 コマンドによる確認 目視チェック等 |
各担当者は、障害の特定及び原因の究明結果をシステム管理責任者に連絡する。
原因が不明の場合、システム管理責任者は、保守委託事業者に協力を要請し、原因の究明を行う。
(3) サーバの動作に関する判断
システム管理責任者は、サーバが正常に動作しない場合には、住民サービスへの影響度合い等を把握した上で、極めて重大な障害で長時間に渡るサーバ停止と判断した時は、セキュリティ統括責任者に対し、セキュリティ会議の開催を具申する。
(4) セキュリティ会議
セキュリティ統括責任者は、別紙に定めた連絡網により、セキュリティ会議のメンバーを招集する。
セキュリティ統括責任者は、議長となって以下の項目について決定する。
決定する項目 | 対応例 |
関係機関への連絡 | 指定情報処理機関 県市町村振興課 関係市町村等 |
技術的支援依頼 | 指定情報処理機関 保守委託事業者等 |
緊急時体制の確立 | 役割分担の確認 指揮命令系統の確認 |
住民対応 | 来所者への対応 ホームページ等での告知 問合せ対応 苦情処理 |
代替措置の実施 | あらかじめ、業務ごとにサーバが停止した場合の事務処理を検討しておき、実施する。 (例 広域交付発行希望住民に対し、発行可能な近接市町村の事務所を案内する等) |
(5) 保守作業の実施
システム管理責任者は、必要に応じて保守委託事業者等に修理、修復又は交換を依頼する。
(6) 運用の再開
システム管理責任者は、本人確認情報の整合性を確認し、必要があれば修復した後、運用を再開する。
(7) 再発防止策(緊急時対応計画の対象外とする。)
再発の防止を行うためには、同様の原因で障害が起きないように、以下の技術面及び運用面からの対策を検討する。
〈技術面の対策〉
障害監視の強化
技術情報の収集等
〈運用面の対策〉
定期点検実施時期の見直し
オーバーホールの実施
予備装置の確保
教育及び研修等
障害の対応手順
〔不正行為対応編〕
1 計画の趣旨
本計画は、東近江市危機管理対応要綱に基づき、住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティを侵犯する不正行為が発生した場合における緊急時対応計画を定める。
2 不正行為の脅威度
住基ネットのセキュリティを侵犯する不正行為の脅威度について、指定情報処理機関緊急時対応計画書に準じて、下記のとおり区分する。
脅威度 | 事象 | 事例 |
レベル1 | 本人確認情報に脅威を及ぼすおそれのない事象 | ・住基ネットに直接関係のない備品のある場所への無権限者の侵入 |
レベル2 | 本人確認情報に脅威を及ぼすおそれの低い事象 | ・住基ネットに関係があるが、本人確認情報が記録されていない磁気ディスク、本人確認情報の保護とは関係がないソフトウェア、ドキュメント等のある場所への無権限者の侵入 ・ファイアウォール(FW)を通過しなかった不正アクセス ・ウイルス対策ソフトによる、コンピュータウイルス等の検出 |
レベル3 | 本人確認情報に脅威を及ぼすおそれの高い事象 | ・本人確認情報が記録されている磁気ディスク、本人確認情報を保護する上で重要なソフトウェア、ドキュメント等のある場所への無権限者の侵入 ・FWを通過した不正アクセス ・業務端末等の不審な操作の検出 ・コンピュータウイルス等の侵入によるシステムの異常動作 ・本人確認情報保護に関する重大な脆弱性の発見 |
3 状況の把握と不正行為の脅威度の判定
不正行為に係る情報の集約、原因の解明、対応策の実施等の責任者は、セキュリティ責任者とする。
住基ネットを利用する部署等において、住基ネットのセキュリティを侵犯する不正行為を発見した場合、指定情報処理機関、他の地方公共団体等からセキュリティを侵犯する不正行為に係る通報がなされた場合等において、セキュリティ責任者は、状況を把握するため以下の対応を行う。
・不正行為に係る情報は、住基ネット担当者を経由して、セキュリティ責任者等に集約する。
・関係するベンダーに連絡し、その協力を得て、事象の調査及び分析を行う。
・不正行為の脅威度がレベル2又は3に該当する可能性が高い場合、県の住基ネット担当部署に通報し、県は、指定情報処理機関に通報し、指定情報処理機関においても状況把握を行うよう要請する。なお、何らかの理由で県の住基ネット担当部署に通報できない場合は、直接、指定情報処理機関に通報する。
4 緊急対応策の実施
システム管理責任者は、把握した状況等を基に、以下のとおり、運用監視の強化等の緊急措置を実施する。
・緊急措置の実施に当たっては、指定情報処理機関、県住基ネット担当部署、ベンダー等の協力の下で行う。
・不正行為の脅威度がレベル3に該当する可能性が高い場合、必要に応じて、システムの停止(一部切離し及び一部停止を含む。)等の緊急措置を行う。
・指定情報処理機関、他の地方公共団体等が緊急措置を講ずる必要がある場合は、当該団体に緊急措置の実施を要請する。
5 セキュリティ会議
不正行為の脅威度がレベル3に該当する場合、住民サービスに対する影響や広報の必要性が生ずる可能性が高いこと等を踏まえ、セキュリティ責任者は、セキュリティ統括責任者にセキュリティ会議の開催を具申する。
セキュリティ会議は、システムの停止(一部切離し及び一部停止を含む。)、住民への対応、広報等の重要事項について決定(必要に応じ、事後承認)を行う。なお、その開催については、原因解明作業や対応策の実施作業と並行して随時行う。
6 原因の解明
セキュリティ責任者は、必要に応じて、指定情報処理機関、関係する都道府県の住基ネット担当部署、ベンダー等と協力し、収集したログ等により原因の解明に努める。
7 緊急措置の見直し及び恒久対策の立案等
セキュリティ責任者は、解明した原因等に基づき、以下の対応を行う。
・既に実施した緊急措置を見直し、必要に応じてシステム復旧等を行う。
・恒久対策の立案を行う。
・指定情報処理機関、関係する都道府県の住基ネット担当部署、関係する市区町村の住基ネット担当部署に連絡する。
不正行為の対応手順
附則(令和4年訓令第3号)抄
(施行期日)
1 この訓令は、令和4年4月1日から施行する。