政府機関のセキュリティ管理 第4回「政府機関の評価結果」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.18(金)

政府機関のセキュリティ管理 第4回「政府機関の評価結果」

特集 特集

日本の政府機関の情報セキュリティは、米国のFISMAの基準を参考にしたセキュリティ基準を作成・整備してきています。本稿では日本の政府機関を対象とした統一基準について情報セキュリティ対策推進会議の内容を中心に概要を報告します。

3.政府機関統一基準の内容について

政府機関統一基準は、情報セキュリティに関する国際基準であるISO/IEC17799を始め、内外の基準を踏まえて我が国政府機関のために策定したものであり、各府省庁が最低限行うべき対策(基本遵守事項)及びより重要度の高い情報に対する対策(強化遵守事項)を定めています。

また、昨今、政府機関へのサービス不能(DoS)攻撃が増加し、国内の企業等においては、重要情報の漏洩問題が相次ぐなど、情報セキュリティ関連の事故が多発している状況にあります。 こうした状況を受けて、まず、平成17年9月15日、情報セキュリティ政策会議第2回会合において、政府機関全体として統一的にとるべき対策のうち、緊急性の高いものについて定めた「政府機関の情報セキュリティのための統一基準(2005年項目限定版)」及びその運用枠組みが決定されました。

 次いで、同年12月13日、情報セキュリティ政策会議第3回会合において、システムの開発・整備に関する対策項目などを追加した「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])」が決定されました。

 さらに、「政府機関の情報セキュリティ対策のための統一基準」については、技術や環境の変化を踏まえ見直しを行うこととされており、平成19年6月14日(情報セキュリティ政策会議第12回会合)及び平成20年2月4日(情報セキュリティ政策会議第16回会合)、平成21年2月3日(情報セキュリティ政策会議第20回会合)において、改訂版が決定されています。

政府機関の情報セキュリティ対策のための統一基準
http://www.nisc.go.jp/active/general/res_kijun07.html
http://www.nisc.go.jp/active/general/res_kijun3.html
http://www.nisc.go.jp/active/general/res_kijun4.html

4.情報セキュリティ対策の実施状況

平成19年9月から同年11月に全19政府機関の情報セキュリティ対策の実施状況に関する重点検査及び評価結果が表1のように内閣官房情報セキュリティセンター(NISC)電子サービスについてまとめられました。

20110210_01

政府機関 セキュリティ 統一基準 総合評価
http://www.nisc.go.jp/conference/seisaku/dai15/pdf/15siryou01.pdf

政府機関全体でB以上の評価を受けており、統一基準による情報セキュリティの整備は順調に進んでいるものと思われます。さらに今回の評価では、電子メール送信時の主体認証の実施率が94%になっています。認証はボット対策に有効であることが知られていますが統一基準では、実施は任意としていた対策です。また、迷惑メール対策については、ほぼ全ての機関で対策を実施していることがわかりました。

5.最新統一基準の見直し案

NICTでは、「政府機関の情報セキュリティ対策のための統一管理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」に関する意見の募集を平成22年12月28日~平成23年1月21日まで行っていました。「政府機関の情報セキュリティ対策のための統一基準」については、政府機関の情報セキュリティ水準を適切に維持していく観点から定期的に見直しを行うこととされております。今回は、政府内部で一層のセキュリティ対策の徹底を図るため、技術・環境の変化等を踏まえて見直しを行うとともに、こうした変化により迅速かつ柔軟に対応するという狙いから、基本的な管理策をまとめた「政府機関の情報セキュリティ対策のための統一管理基準」(案)と技術的な管理策をまとめた「政府機関の情報セキュリティ対策のための統一技術基準」(案)の2つの文書に統一基準を再編し、両案について意見集約を図るものです。

(林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  6. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  7. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  8. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×