情報セキュリティインシデントへの対処

48

49

2.2.4(1)-3 統括情報セキュリティ責任者は、所管する独立行政法人等において発生した 情報セキュリティインシデントについて、当該法人から報告・連絡を受ける窓口につ いて定めるとともに、各法人にその窓口の連絡先を周知すること。

（解説）

遵守事項2.2.4(1)(a)「報告手順」について

報告手順として明記すべき事項としては、情報セキュリティインシデントの可能性 が認知されてから最高情報セキュリティ責任者に報告するまでの具体的な手順等が考 えられる。

また、情報セキュリティインシデントの可能性の報告窓口については、報告手順の中 で明らかにしておくほか、情報セキュリティ対策の教育の中で周知する、報告窓口の連 絡先を執務室内に掲示するなどして、緊急時に行政事務従事者が速やかに報告できる ようにする必要がある。

報告窓口をCSIRTとは異なる部門に設ける場合は、当該部門からCSIRTへの報告 が速やかに実施される体制にすることが求められる。

遵守事項2.2.4(1)(a)「報告が必要な具体例」について

「（解説）遵守事項2.2.4(2)(a)「情報セキュリティインシデントの可能性を認知した 場合には、府省庁の報告窓口に報告」について」を参照のこと。

遵守事項2.2.4(1)(b)「対処手順」について

対処手順として情報セキュリティインシデントの認知時において緊急を要する対処 等の必要性に備えて、通常とは異なる例外的な承認手続を定めておくことも併せて検 討する必要がある。対処する者に、ある程度の権限の委任がされないと、適切な措置に 遅延等が発生することが予想されるため、そのようなことがないよう検討すること。

遵守事項2.2.4(1)(c)「緊急連絡網」について

統括情報セキュリティ責任者は、通常時の全ての情報セキュリティ関連の責任者及 び管理者の連絡網の整備に加えて、情報セキュリティインシデントを認知した場合に 速やかに対処するための「緊急連絡網」を整備する必要がある。

緊急連絡網には、該当する行政事務従事者の自宅や携帯電話の番号等が含まれるこ とも想定される。また、緊急連絡網には当該システムに係る責任者及び管理者のほか、

重大な情報セキュリティインシデントに備えて最高情報セキュリティ責任者も含める 必要がある。

遵守事項2.2.4(1)(d)「訓練の内容及び体制を整備」について

実際に情報セキュリティインシデントへの対処を模擬的に行うことにより、対処能 力を向上させるために実施する訓練の内容及び体制の整備を求める事項である。

実効的な訓練を実施するためには、情報システム部門だけでなく、情報セキュリティ インシデントに関する報告窓口となる部門、情報セキュリティ対策に関する事務を総 括する部門やCSIRTも参加することが望ましい。

50

なお、あらかじめ統括情報セキュリティ責任者が認めた場合には、統括情報セキュリ ティ責任者が指定した者に当該訓練の内容及び体制を整備させることも考えられる。

その際には、統括情報セキュリティ責任者は、指定した者より適宜報告を受けることが 望ましい。

遵守事項2.2.4(1)(e)「府省庁外の者から報告を受けるための窓口を整備」について

例として、外部の者が府省庁の情報セキュリティ対策の不備を発見した場合、府省庁 への攻撃のおそれ等を認知した場合、府省庁外の者に情報セキュリティ上の脅威を与 えていることを認知した場合（与えるおそれがある場合を含む。）等に、府省庁外の者 から連絡を受ける体制を整備することを求めている。

遵守事項2.2.4(1)(f)「対処手順が適切に機能することを訓練等により確認」について

情報セキュリティインシデントは定常的に発生するものではないが、実際に発生し た場合には、府省庁の行政事務に大きな影響をもたらすおそれがあるため、迅速かつ的 確に対処を行うことが求められる。そのため、定めた対処手順が適切に機能することを 訓練等によって確認しておくことが重要である。

訓練等には、実際に使用する機器を利用した「実機訓練」や、逐次の状況付与を受け て判断等を行う「ロールプレイング」、状況設定の上で手順の検証を行う「シミュレー ション」といった大掛かりなもののほか、より簡易な「ウォークスルー」や「机上チェ ック」といった手法も存在する。CSIRT の取組状況や職員の習熟度等に応じて、必要 な訓練等を検討し実施することが望まれる。

基本対策事項2.2.4(1)-2 「意思決定の判断基準、判断に応じた対応内容、緊急時の意思 決定方法等」について

例えば、府省庁LAN内での不正プログラム感染拡大やそれに伴う情報流出等が疑わ れる場合には、被害の拡大を阻止する措置を直ちに講ずることが重要である。そのよう な場合において、情報の重要度、情報が失われた場合のリスク、業務継続方法等を勘案 した上で、調整等に時間をかけず直ちにネットワークを遮断するなどの措置を講ずる ため、その手続や対象範囲等を事前に定めておくことが考えられる。これらの基準や手 続は、政府機関を取り巻くサイバー攻撃事例や情報セキュリティインシデント事例を 基に、適時見直すことが求められる。

51 遵守事項

(2) 情報セキュリティインシデントへの対処

(a) 行政事務従事者は、情報セキュリティインシデントの可能性を認知した場合に は、府省庁の報告窓口に報告し、指示に従うこと。

(b) CSIRTは、報告された情報セキュリティインシデントの可能性について状況を

確認し、情報セキュリティインシデントであるかの評価を行うこと。

(c) CSIRT責任者は、情報セキュリティインシデントであると評価した場合、最高

情報セキュリティ責任者に速やかに報告すること。

(d) CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者

に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示又は 勧告を行うこと。

(e) 情報システムセキュリティ責任者は、所管する情報システムについて情報セキ ュリティインシデントを認知した場合には、府省庁で定められた対処手順又は

CSIRTの指示若しくは勧告に従って、適切に対処すること。

(f) 情報システムセキュリティ責任者は、認知した情報セキュリティインシデント が基盤となる情報システムに関するものであり、当該基盤となる情報システムの 情報セキュリティ対策に係る運用管理規程等が定められている場合には、当該運 用管理規程等に従い、適切に対処すること。

(g) CSIRTは、府省庁の情報システムにおいて、情報セキュリティインシデントを

認知した場合には、当該事象について速やかに、内閣官房内閣サイバーセキュリ ティセンターに連絡すること。また、認知した情報セキュリティインシデントが サイバー攻撃又はそのおそれのあるものである場合には、当該情報セキュリティ インシデントの内容に応じ、警察への通報・連絡等を行うこと。さらに、国民の 生命、身体、財産若しくは国土に重大な被害が生じ、若しくは生じるおそれのあ る大規模サイバー攻撃事態又はその可能性がある事態においては、「大規模サイバ ー攻撃事態等への初動対処について（平成22年３月19日内閣危機管理監決裁）」 に基づく報告連絡も行うこと。

(h) CSIRTは、情報セキュリティインシデントに関する対処状況を把握し、必要に

応じて対処全般に関する指示、勧告又は助言を行うこと。

(i) CSIRT は、情報セキュリティインシデントに関する対処の内容を記録するこ

と。

(j) CSIRTは、情報セキュリティインシデントに関して、府省庁を含む関係機関と

情報共有を行うこと。

(k) CSIRTは、CYMATの支援を受ける場合には、支援を受けるに当たって必要な

情報提供を行うこと。

【 基本対策事項 】

＜2.2.4(2)(b)関連＞

2.2.4(2)-1 CSIRTは、情報セキュリティインシデントではないと評価した場合であって

52

も、注意喚起等が必要と考えられるものについては、関係する者に情報共有を行うこ と。

＜2.2.4(2)(d)関連＞

2.2.4(2)-2 CSIRT責任者は、認知した情報セキュリティインシデントの種類や規模、影

響度合い等を勘案し、必要に応じて、CSIRT、情報セキュリティインシデントの当事 者部局、その他関連部局の役割分担を見直すこと。

（解説）

遵守事項2.2.4(2)(a)「情報セキュリティインシデントの可能性を認知した場合には、府

省庁の報告窓口に報告」について

行政事務従事者に、情報セキュリティインシデントであることを判断した上で報告 させることは、判断誤りによる報告漏れ等につながるため、その可能性を認知した段階 で報告を求める必要がある。報告窓口に報告する内容には、情報セキュリティインシデ ントの防止策を無効化したり、すり抜けられたりすることにより、被害に至らないまで も蓋然性が高まった状態も含まれる。例えば、不審な電子メールの添付ファイルを開い たり、URLリンクをクリックしたりしてしまった場合や、機密性の高い情報を保存し たモバイル端末の所在が不明であるが、紛失したことや盗難されたことが確定的でな い場合、平時の情報システムの利用において確認されないはずのエラーメッセージが 端末に表示された場合等が想定される。

遵守事項2.2.4(2)(c)「最高情報セキュリティ責任者に速やかに報告」について

情報セキュリティインシデントの性質上、全ての状況が判然とするまでに時間がか かるものであるため、一度の報告で完了することはまれである。例えば、未確定情報を 含んだ状態で第一報として報告し、その後に第二報、第三報と続けるような、適切な頻 度で報告内容を更新する報告運用が望ましい。その場合、何が確定し、何が未確定であ るのかを明らかにすることが望ましい。全ての情報が確定するまで待って報告を遅ら せるようなことは、あってはならない。

遵守事項2.2.4(2)(d)「応急措置の実施及び復旧に係る指示又は勧告」について

応急措置や復旧に当たっては、情報セキュリティインシデントが発生した情報シス テムの停止、ネットワークの遮断等について、被害の拡大可能性、証跡保全、業務継続 等を勘案し、CSIRT責任者の判断で指示又は勧告をする。この場合には、情報セキュ リティを推進する部局がCSIRT責任者の指示又は勧告を支援することが望ましい。

なお、応急措置や復旧に関して、事前に決められた手順がある場合はその手順に従う ことが求められる（「（解説）基本対策事項2.2.4(1)-2 『意思決定の判断基準、判断に応 じた対応内容、緊急時の意思決定方法等』について」を参照のこと。）。

遵守事項2.2.4(2)(g)「内閣官房内閣サイバーセキュリティセンターに連絡」について

内閣官房内閣サイバーセキュリティセンターへの連絡内容としては、以下が考えら れる。

情報セキュリティインシデントが発生した部署