国家サイバー統括室(NCO)は6月12日、「政府機関等の対策基準策定のためのガイドライン(令和7年度版)」の一部改定について発表した。
国家サイバー統括室が策定した「政府機関等の対策基準策定のためのガイドライン」は、政府統一基準の定めを満たすため、とるべき具体的な対策や解説を盛り込んだもので、最近の技術動向等を踏まえて2026年6月12日に必要な改定を行う。
主な改定事項とその内容は下記の通り。
1.脆弱性対策(セキュリティパッチ適用等)の強化
高性能AIの悪用などのサイバー攻撃の高度化・自動化等を踏まえ、
・全情報システムについて、セキュリティパッチの適時の適用を前提とした運用設計(パッチマネジメント)を行う。
・サイバー攻撃の高度化・自動化等の状況をふまえ、運用設計を見直す。
・迅速な適用の要否を判断した上で、脆弱性対策計画を策定・実施する。
・迅速な適用が必要な場合、情報システムの運用を一時停止することも検討する。
2.情報システム運用継続計画(IT-BCP)の確実な整備
情報システム運用継続計画(IT-BCP)で求められるセキュリティ要件を情報システムへ確実に実装するため、機関等の各情報システムについて、
・政府業務継続計画における非常時優先業務等を支えるシステムかを確認する。
・IT-BCPが整備されているかを確認する。
・IT-BCPの要件をふまえてセキュリティ要件を策定する。
3.インシデント発生時の対処強化
情報セキュリティインシデント発生時にNCOへ連絡(報告)する事項に、サイバー脅威の分析に資する情報(IoCやログ、 デジタルフォレンジック結果等)を追加する。
4.多要素認証等の主体認証の強化
基幹システム等において、情報セキュリティインシデントに繋がるおそれのある強い権限を持つ主体には原則、多要素主体認証方式を導入する。
5.DMARC対応によるフィッシング対策強化
政府機関等になりすましたメールを受信した場合、当該受信メールが迷惑メール(quarantine)又は受信拒否(reject)となるよう、政府機関等側のDMARCポリシーの設定を強化する。
