政府機関のセキュリティ管理 第3回「日本の政府機関統一基準」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

政府機関のセキュリティ管理 第3回「日本の政府機関統一基準」

特集 特集

日本の政府機関の情報セキュリティは、米国のFISMAの基準を参考にしたセキュリティ基準を作成・整備してきています。本稿では日本の政府機関を対象とした統一基準について情報セキュリティ対策推進会議の内容を中心に概要を報告します。

1.日本の統一基準

(1)政府機関における情報セキュリティ対策の現状

政府機関の情報セキュリティ対策については、2000年に情報セキュリティ対策推進会議が決定した「情報セキュリティポリシーに関するガイドライン」(以下「旧ガイドライン」という)に基づき、各府省庁がそれぞれ自らの責任において独自に情報セキュリティポリシーを策定し対策を実施してきました。その後、2002年には、各省庁における情報セキュリティポリシー実施状況の評価を行うとともに、旧ガイドラインの一部改訂を行い、さらに、2003年に内閣官房が各府省庁の情報システムに対する脆弱性検査を実施するなどにより対策の定着と問題点の把握を図ってきました。

(2)政府機関における情報セキュリティ対策の問題点

旧ガイドラインの下で、各府省庁は明文化された情報セキュリティポリシーを持つようになり、対策の基本的枠組みが整備されたことにより、政府機関の情報セキュリティは全体として一定の向上を見ました。一方上述の脆弱性検査を実施した結果、政府機関の情報セキュリティ対策は、「情報セキュリティ水準の高い府省庁と低い府省庁の格差が大きい」「内部からの不正アクセスに対して脆弱」といった問題があることが明らかとなりました。問題の重要な背景の一つとして、情報セキュリティ対策を適切な水準で実行するために必要な人材の大幅な不足という各府省庁に内在する構造的な問題が存在すると指摘されています。

(3)情報セキュリティスキル人材

政府機関の情報セキュリティ対策の現状の枠組みは、旧ガイドラインに示されているように、各府省庁が自らの情報資産を把握し、それに適した対策を自ら選択するという、情報セキュリティ対策の一般原則論を踏まえたものであり、政府機関全体としてみると、分散的自己完結責任型の情報セキュリティポリシー体制でした。しかしながら、急激に変化し続けるネットワーク環境と、日々生起する新たな脅威に対して、適切な情報セキュリティ水準を確保し続けることは、かなり高度な専門性が要求されます。各府省庁において情報セキュリティに関する知識が豊富な専門家が不足する中で、対策の適切さについて不安を拭うことはかなり難しく、また量的な観点から見ても、情報セキュリティポリシーどおりに対策を講じつつ、情報セキュリティポリシー自体も、随時適切に見直していくという業務は、各府省庁にとって大きな負担となっています。

2.新しい枠組みの構築に向けての方向性

現在の分散的自己完結責任型の枠組のみでは、各府省庁が情報セキュリティを適切な水準に確保することは極めて難しく、政府機関全体の中に脆弱性を抱え持つ構図となっていました。この問題の解決の基本は、各府省庁において専門的人材を十分な人数だけ育成・確保することですが、これには時間を要するため、現時点で早急に対策を充実させるためには、各府省庁の自己責任に基づく情報セキュリティ対策の既存枠組みに加え、内閣官房情報セキュリティセンターに情報セキュリティに関する知識と情報を集め、センターが各府省庁の責務の実行を支援するという枠組みを付加することが、最も実行可能性の高い方向性であると判断されました。 この方向性を具体化し、政府機関全体として高いレベルで水準のそろった情報セキュリティを確保するため、政策会議として次の3つの文書を定めることとしました。

(1)政府としての基本的な方針を定めた「政府機関の情報セキュリティ対策の強化に関する基本方針」(政府基本方針)

(2)政府機関統一基準を運用する具体的な枠組みを示すものとして「政府機関の情報セキュリティ対策のための統一基準の策定と運用等に関する指針」(統一基準運用指針)

(3)各府省庁が採るべき対策等を定め、対策強化・整合化の主要な手段となる「政府機関の情報セキュリティ対策のための統一基準」(政府機関統一基準)

「政府機関の情報セキュリティ対策の強化に関する基本方針」は、政府が行うべき基本的事項として以下の事項を挙げています。

・政府機関統一基準の策定

・各府省庁での情報セキュリティポリシー等の見直し

・各府省庁での自己点検等

・政府全体でのPDCAサイクルの確立

・情報セキュリティ確保に有効な制度等の活用の促進

・独立行政法人等のセキュリティ対策の改善

・新たな脆弱性等に対するセンターと府省庁との連携

・情報セキュリティ人材の育成の支援・促進

・その他、政府全体での中長期的な対策の強化

(林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×