- 1 -
報道発表
平成 21 年5月8日 内閣官房情報セキュリティセンター( NISC )
情報セキュリティ政策会議第 21 回会合の開催について
-「セキュア・ジャパン 2009 」パブリックコメント案の決定等-
本日、「情報セキュリティ政策会議」(議長:内閣官房長官)の新年度最初の会合である 第 21 回会合が開催され、その概要は以下のとおり。
1. 第1次基本計画は対策実施のための基盤・枠組みの形成など一定の成果
昨年度は、我が国の情報セキュリティ問題全般についての中長期戦略「第1次情報セ キュリティ基本計画」(対象期間:2006年度~2008年度。以下「第1次基本計画」とい う。)の最終年度であるため、2008年度の政策評価に加え、3年間の取組みの評価も実 施した。その結果として、
○ ITを安心して使いこなせる社会の実現に向け、3年間で、情報セキュリティ対策実 施のための基盤・枠組みの形成が進み、特に 2008 年度は、「取組みの重要性の認 識の維持・向上、対策実施」が進展するなど、一定の成果は上がっている
○ しかし、情報流出等の情報セキュリティに関するインシデントは依然として減少して おらず、 IT 利用における不安も依然として残っている
○ 今後は、各主体の更なる底上げとともに、構築された基盤を活用した取組みの更 なる具体化、技術や環境の変化を踏まえた改善と継続が必要である
ことなどが報告された。
主な分野別の評価については、以下のとおり。
(1)重要インフラ分野について
・ 本年2月、分野横断的な情報共有等の連携を推進するセプターカウンシルが創 設されるなど、体制等の基礎の整備は進展した。
・ 今後の課題は、枠組みの有効・活発な活用。
(2)国際連携・協調分野について
・ 日・ ASEAN 情報セキュリティ政策会議創設等、産業界とも連携した地域間の互
恵関係を築く枠組みが構築された。
・ 今後は、国際的な活動の成果、国外のベストプラクティスの国内への還元につい
- 2 - て、取組みの具体化が必要。
(3) セキュア・ジャパン 2008 の実施状況について
約 9 割の施策が当初の予定どおりに実施。政府機関対策の推進に係る施策では、
体制や人員の不足に課題がある。
(別紙1参照)
2.すべての主体に事故前提の自覚を ~セキュア・ジャパン 2009 (パブコメ案)
本年2月3日、我が国の新たな情報セキュリティ政策の「根幹」・「羅針盤」となる第 2 次 情報セキュリティ基本計画(以下「第2次基本計画」という。)が決定された。本計画に基づ き、2009年度の各府省庁の施策集であるセキュア・ジャパン 2009( 案 ) を作成。
現下の経済情勢を脱するため、 IT の利活用により経済成長等を図る複数の戦略が打 ち出されているが、本案は情報セキュリティの観点から、それら戦略に息を吹き込むも の。
また、第2次基本計画の方向性は、
・ 『事故前提社会』への対応力強化のための基盤づくり
・ 『合理性に裏付けられたアプローチの実現』への取組みの開始 に
・ 現下の経済情勢への対応を支え取組みの推進
を加えた3本柱が基本であり、これらを踏まえ、1年目は各主体の「自覚」を、2年目は主 体間の「協働」を、3年目は社会全体での「成熟」を、というように段階的に成長していく。
本日、同案についてパブリックコメントに付すことが決定(平成 21 年5月8日~5月 29 日の間)。第2次基本計画の初年度として、同計画の理念を実現するため、多くのコメント が寄せられることを期待。
セキュア・ジャパン 2009 のポイントは以下のとおり。
① 新たなテーマに対する官民の共通認識の形成
② 電子政府の推進
③ 情報セキュリティ人材の確保・育成
④ 国際連携・協調の推進
⑤ 技術戦略の推進
これらにより、2009年度に実施する212施策を、2010年度の重点として14施策を掲 げている。
(別紙2参照)
- 3 -
3.政府機関における情報セキュリティ対策は教育の実施などに課題
(1) 2008年度の対策実施状況報告
2008年度の政府機関統一基準に基づく各府省庁における情報セキュリティ対策 の実施状況を NISC において把握した。なお、政府機関統一基準とは、政府機関 の職員がそれぞれの責務に応じて、最低限採るべき情報セキュリティ対策を定めた ものである。
○ 2006 年度から徐々に報告の対象範囲を拡大してきたが、2008 年度は非常勤 職員を含めたすべての公務員、約 55 万人を対象とした。対策実施状況が把握で きた者の割合を示す「把握率」は全府省庁の平均で約97%であった。
○ 報告を分析した結果、全府省庁共通の課題として以下の 3 つの項目が判明。
・ 情報セキュリティ対策の教育の受講
→教育を実施しても受講しない者がかなりおり、受講指導の徹底も不十分
・ 情報の格付け・取扱い制限に係る措置
→機微な情報を保存する際の暗号化や管理者への届出等が不十分
・ 各種規定・手順の整備
→規程・手順の整備において、暗号と電子署名、府省庁外での情報処理の制限等 に係るものが不十分
これらの重要な課題が前年に続き、不十分な状態にあることは重大な問題である。
今後、これらの課題を中心に、平均実施率が低い項目について、各府省庁において 対策を実施していく予定。
(別紙3参照)
(2) 政府機関における情報セキュリティ対策のマネジメントについて
府省庁における情報セキュリティマネジメントに関するベストプラクティスを抽出、
評価したところ、
○ 政府機関の模範となるプラクティスは 44 件から 82 件と大幅に増えた。
例)IT を活用した外部記録媒体における情報セキュリティ対策の強化
○ 前回評価時の政府機関の模範となるプラクティスを参考としたプラクティスは 29 件であり、各府省庁の積極的なセキュリティ向上の取り組みが見られる。
○ 政府内外を問わず模範となる先進的なプラクティスは見られなかった。
(別紙4参照)
4.政府機関のWEB改ざんについて ~一連の事案から見えたもの~
○ 本年4月、複数の政府機関ホームページが改ざんされ、当該ホームページの
- 4 - 運用を停止せざるをえない事態が発生。
○ 改ざんの把握から本省への報告、システム停止、原因究明・対策に着手するま で時間を要したことから、システム管理のガバナンスに課題が見られる。
○ 情報の漏えいやコンピュータウイルス等の感染は確認されていない。
○ NISC は本会議において、本件について官房長官を始めとした閣僚構成員及 び有識者構成員に対し、報告を行った。
(別紙5参照)
5.その他
(1) 重要インフラにおけるセプターカウンシルの創設について 他
○ 本年2月26日、分野横断的な情報共有等の連携を推進するセプターカウンシ ルが創設された。
○ 重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあた っての指針(2006 年 2 月 2 日 情報セキュリティ政策会議決定、2007 年 6 月 14 日改定 )については、より実践的で分かりやすいものとするため、本編と 具体的な対策の例示をする対策編に分ける方向で検討している。
○ 2008 年度の相互依存解析は、分野間のデータ送受信で発生する問題の 影響を分析し、その特徴を把握した。
○ 2008 年度の分野横断的演習は、参加者に事前にシナリオの一部を開示し ないで、より実践的な環境での演習を行い、官民の情報共有に関する課題を 抽出した。
(別紙6参照)
(2) 「技術戦略専門委員会報告書 2008」について
(別紙7参照)
(3)日・ASEAN 情報セキュリティ政策会議の開催結果について
(別紙8参照)
【本件に関する問合せ先】
内閣官房情報セキュリティセンター(NISC)
山口補佐官、関参事官、安部参事官補佐 電話 03-3581-3768(センター代表)
※ 本日の会議資料は、内閣官房情報セキュリティセンターのホームページにおいて公表します。
(http://www.nisc.go.jp/conference/seisaku/index.html#seisaku21)
※ 「情報セキュリティ政策会議」は、平成17年5月30日のIT戦略本部決定によって設置されました。
(http://www.nisc.go.jp/press/pdf/050530seisaku-press.pdf)
「第1 「第 1次情報セキュリティ基本計画」、評価 次情報セキュリティ基本計画」、評価等 等及び 及びセキュア・ジャパン セキュア・ジャパンの関係 の関係
2006年度
「セキュア・ジャパン2006」
(2006年6月15日 情報セキュリティ政策会議)
① 2006年度の実施計画
~「官民におけるセキュリティ対策の 体制の構築」
② 2007年度の重点施策の方向性
~「官民におけるセキュリティ対策の 底上げ」
政府機関 政府 機関・地方公共団体 ・地方公共団体 重要インフラ 重要インフラ 企 企 業 業 個 個 人 人
目標
情報セキュリティ技術戦略の推進 情報セキュリティ人材の育成確保 国際連携・協調の推進 犯罪の取締り、権利利益の保護救済
「第1次情報セキュリティ基本計画」
(2006年2月2日 情報セキュリティ政策会議)重要政策 横断的な
「セキュア・ジャパン2007」
(2007年6月14日 情報セキュリティ政策会議)
① 2007年度の実施計画
~「官民におけるセキュリティ対策の 底上げ」
② 2008年度の重点施策の方向性
~「セキュリティ基盤強化に向けた 集中的取組み」
報告 報告
2006年度の 評価等
2007年4月23日 内閣官房 情報セキュリティセンター
2007年度の 評価等
2008年4月22日 内閣官房 情報セキュリティセンター
2007年度の 評価等
2008年4月22日 内閣官房 情報セキュリティセンター
2009年度
2007年度 2008年度
「セキュア・ジャパン2008」
(2008年6月20日 情報セキュリティ政策会議)
① 2008年度の実施計画
~「情報セキュリティ基盤の強化に向けた 集中的な取組み」
② 2009年度の重点施策の方向性
~「持続的な情報セキュリティ対策の推進 体制の構築に向けた基盤整備」
「 第
2 次
情報セ キ ュ リ テ ィ 基本計画」
「セキュア・ジャパン2009」
(案)
① 2009年度の実施計画(案)
~「すべての主体に事故前提の自覚を」
② 2010年度の重点施策の方向性(案)
~「すべての主体の協働による 情報セキュリティ対策の協力な推進を」
2008年度の 評価等
2008年5月8日 内閣官房 情報セキュリティセンター
2008年度の 評価等
2008年5月8日 内閣官房 情報セキュリティセンター
報告
報告を受け止め る形で政策会議 として現状を
認識・評価 報告を受け止め る形で政策会議 として現状を
認識・評価
別紙1-1
2008 2008 年度の評価等における評価・分析のポイント 年度の評価等における評価・分析のポイント
○
○対策実施4領域 対策実施4領域
【政府機関】 ・持続的評価改善の取組みにより対策実施に大きな改善。成果は見られるものの、教育等の重要な課題の改善に向けた取組みの加速が必要。
【重要インフラ】 ・行動計画に基づく2008年度の取組みは、当所の目標に沿った成果を上げる。個々の重要インフラ事業者等による情報セキュリティ対策の向上が 進んでいるものと理解。
情報共有については、セプターカウンシルが創設されるなど、体制等の基礎の整備は進展。活発な運用にはなお時間を要する。
【企業】 ・情報セキュリティに係る脅威やトラブルの重大性の認識は徐々に高まり、対策実施の割合も徐々に伸びている状況。
市場評価に繋がるとの認識は低く、「取組みが進む主体」と「取組みが遅れがちな主体」との間に差が広がりつつある。
【個人】 ・情報セキュリティに対する意識の向上、対策実施の割合に着実な伸び、一定の成果がみられるが、更なる底上げが必要。
○横断的な情報セキュリティ基盤 ○ 横断的な情報セキュリティ基盤
【技術戦略】 ・技術戦略専門委員会等による情報セキュリティ分野の研究開発・技術開発の投資領域の検討、各種取組みにより、情報セキュリティ 技術の高度化に向けたステップは前進。実用化に向けた更なる成果の拡充・統合、検討の深化、具体化が必要。
【人材育成・確保】 ・ 2007年度の施策を継続しつつ、教育拠点における講座開設、IT人材スキルの体系化など、これまでの施策を具体化する取組みが みられたことは一定の成果。教育機会の活用等による人材の市場への供給、社会のニーズを満たすには、なお時間を要し、発展の途上。
【国際連携・協調】 ・国際会議への参加を通して、POC(窓口)としての認知度は向上。日・ASEAN情報セキュリティ政策会議創設等、産業界とも連携した地域間の 互恵関係を築く枠組みの構築。国際的な活動の成果、国外のベストプラクティスの国内への還元について、取組みの具体化が必要。
【犯罪取締り等】 ・基盤整備は継続的に進められており、一定の進展がみられる。サイバー犯罪の増加や高度化・多様化の傾向は依然続く、「一定範囲内に収 まっている」とは言い難い状況にある。
○社会情勢 ○ 社会情勢
【人的側面】 ・人材の育成・確保にはなお時間を要する。意識は重要性の認識が高まりつつも、IT利用への不安はいまだ大きい
【物的側面】 ・各主体、技術的なものを含む対策実施の割合は着実に伸びている状況。企業の投資、個人の対策実施の割合も徐々にであるが伸びている状況。
【インシデント】・情報漏えい等のインシデントは依然減少していない。
Webサービスへの攻撃被害、USBメモリを介したウイルス感染等、攻撃方法が多様化・巧妙化。○
○ SJ2008に基づく施策の取組み結果 SJ 2008に基づく施策の取組み結果
約9割の施策について2008年の年度内に推進。政府機関対策の推進に係る施策では、依然として体制や人員の不足に課題がある。
○ ○ 情報セキュリティ政策全体(総評) 情報セキュリティ政策全体 (総評)
・官民の情報セキュリティ対策基盤の強化へ向けた最大限の努力はなされ、各主体の対策実施状況は徐々にではあるが改善。「取組みの重要性の認識の 維持・向上、対策実施」は進み、一定の成果とは言える。
・情報セキュリティに関するインシデントは依然として減少しておらず、IT利用における不安も依然として残っている。
・基盤・枠組みの形成が主であったとも言える。一定の社会的効果が得られるまでには、それらを基にした、各主体の継続的取組みが求められる。
別紙1-2
第1次情報セキュリティ基本計画の3年間の総評 第1次情報セキュリティ基本計画の3年間の総評
○ ○政府機関 政府機関
・政府機関統一基準とそれに基づく評価・勧告によるPDCAサイクルの構築、基本的項目に係る対策実施状況には改善がみられる。
・政府機関の安全な暗号利用の促進、電子政府構築へ向けた検討など中長期的なセキュリティ強化に向けた政府機関共通の取組み。
⇒概ね達成できていると評価できるが、当初の目標は完全に実現しているとは言えない。担当者数の不足、スキル向上・継承が困難、
取組みが必ずしも能動的ではないといった点も踏まえ、技術や環境の変化に対応した取組みの持続・改善が必要
・各主体の情報セキュリティ対策の重要性の認識の高まり、PDCAサイクルによる持続的評価改善の構造、基盤の整備は図られる。
・
IT安心利用環境の構築過程での、官民連携による具体的なモデルを構築する取組みがなされた。
⇒
IT利用の客観的・主観的信頼性の確保、
IT安心利用環境の構築へ向け、基盤整備を中心に一定の成果があったとは言える。
○ ○重要インフラ 重要インフラ
・官民の緊密な連携の下、行動計画の4本の柱の実施を通し、関係主体間の連携の基礎が整う。
・各関係主体の情報セキュリティ対策の充実に向けた気づきや共通認識の醸成を進める土壌が育ちつつある。
⇒枠組みの有効な活用を含め、各関係主体に期待される役割をいかに発揮していくかが課題。また、事前及び事後の対策をバランス よく行い、IT利用の一層の深化や広がりの変化を踏まえて対応していくことが必要。
○
○企業・個人 企業・個人
・企業:重要性の認識は高まりつつあり、対策実施は徐々に進められている状況だが、企業規模により取組みに差がみられる。
・個人:意識や対策の向上は徐々にみられるが、IT利用の不安は、減少傾向にあるものの依然として大きい。
⇒企業や個人が直面する情報セキュリティ上の脅威は減少していない。それぞれにおいて、対策の更なる底上げが図られることが望まれる。
企業では、取組みが遅れがちな主体の対策促進、取組みが市場で評価される環境の整備、個人では、より効果的・効率的な広報啓発の検討、
個人のIT利用の多様化・進化を考慮し、安全なIT利用環境を構築する方策を検討する必要がある。
○ ○横断的な情報セキュリティ基盤 横断的な情報セキュリティ基盤
○ ○ 情報セキュリティ政策全体(総評) 情報セキュリティ政策全体 (総評)
・【技術戦略】:課題解決型の技術開発には一定の進展、「グランドチャレンジ型」研究開発・技術開発推進では方向性の検討は深まりつつあるが、
開発技術の実用化に向けた成果の拡充や検討の更なる深化や具体化が必要。
・【人材育成・確保】:官民それぞれで情報セキュリティに係る人材についての検討、取組みが行われてきた。十分な人材確保には、なお時間を 要する。継続的に更なる取組みが必要。
・【国際連携・協調】:国際的な会議への積極的参加、情報発信によるPOC機能の明確化、今後の国際連携・協調のための「場」の整備は行われた。
「場」の効果的な活用はこれからであり、取組みの具体化が必要。政策効果の評価は中長期的な視点に立った検討が必要。
・【犯罪の取締り及び権利利益の保護・救済】:取組みは継続的に進められ、一定の進展がみられるが、ITの進展や情勢の変化により、サイバー犯罪を
「一定範囲内に収める」ための基盤整備に注力する状況。法整備は個人の権利利益との関係で慎重な検討が必要。
別紙1-3
◆能動的に情報セキュリティ 対策を推進する体制確立
(
最高情報セキュリティアドバイザー 設置、年次報告書の報告・公表)
◆事業継続性確保の検討、
サイバー攻撃等への緊急対 応能力強化
◆ 安全基準等の整備及び浸透
◆ 情報共有体制の強化
◆ セプターカウンシルの支援
◆ 共通脅威分析、分野横断的 演習の実施
◆ 環境変化への対応
◆ 情報セキュリティガバナンス 確立の促進
◆ 対策容易化のためのツール 提供
◆ 中小企業の対策促進
◆ コンピュータウィルス等への 対応体制の強化
政府
政府機関 機関・地方公共団体 ・地方公共団体 重要インフラ 重要インフラ 企業 企業 個人 個人
政府機関統一基準 重要インフラ行動計画
◆ 学校や地域における教育モラ ル等の教育の推進
◆ 個人の質問対応を行えるよう なサポータの育成
◆ サービス提供事業者や対策 支援主体によるリスク情報等 の個人への適切な提供促進
◆セキュリティ対策を埋め込んだ機器の開発促進
◆ 「グランドチャレンジ型」技術開発の推進
対策実施4 領域
に お け る 取 組 み
情報セキュリティ技術戦略の推進 情報セキュリティ人材の育成確保
◆ 世界の脅威動向を把握するための官民連携確立
◆ アジアにおける知恵の結集と水準の向上 国際連携・協調の推進
◆ 犯罪取締りのための基盤整備の推進
◆ 権利利益の保護・救済のための基盤整備の推進 犯罪の取締り、権利利益の保護救済
◆ 政府機関における人材の育成・確保
◆ 保有するスキルの見える化の推進
各省庁による施策 各省庁による施策
横断的事 項 主体 情報提供
自身の有する情報を預ける主体
自身の有する情報を預ける主体 (新たな課題として、関係機関等が協力しながら取組みを検討・推進)
※その他、対策支援主体
(「情報セキュリティ対策を実施する主体」の取組みを支援する主体)の取組みも促進する。
「第2次情報セキュリティ基本計画」に基づく取組み
「第2次情報セキュリティ基本計画」に基づく取組み -今後3年間の重点政 -今後3年間の重点政 策- 策-
別紙2-1
「事故前提社会」への
「事故前提社会」への 対応力強化のための 対応力強化のための
基盤づくり 基盤づくり
「合理性に裏付けられた
「合理性に裏付けられた アプローチの実現」への アプローチの実現」への
取組みの開始 取組みの開始
現下の経済情勢への 現下の経済情勢への
対応を支える 対応を支える 取組みの推進 取組みの推進
自覚 ・すべての主体が、「事故前提社会」の認識を持ち、それを前提とした対策を行うよう、改善に着手。
・第1次基本計画期間中に整備された体制やツール等の基盤を活用しつつ、事後対策にも対応でき るよう見直しを進める。
2009年度
協働 ・すべての主体が、それぞれの取組みの在り方についての検討を進め、関連した取組み間の連携や 分担の可能性についての議論を進める。
・社会全体で一貫した取組みが実施可能な状態を創り出すことに向けて、協働を開始。
2010年度
成熟 2011年度
・すべての主体が、「事故前提社会」への対応を自主的取組みとして実施しつつ、整備された情報セキュ リティ基盤を無理なく効果的に活用。
・進捗が遅れている施策等に重点的に取り組み、3箇年の取組みの総仕上げを図る。
3箇年を通じた方向性及び取組みの流れ
3箇年を通じた方向性及び取組みの流れ -成長の各段階のイメージ- -成長の各段階のイメージ-
別紙2-2
「セキュア・ジャパン
「セキュア・ジャパン 2009 2009 」(案)のポイント 」(案)のポイント
「事故前提社会」への
「事故前提社会」への 対応力強化のための 対応力強化のための 基盤づくり
基盤づくり
「合理性に裏付けられ
「合理性に裏付けられ たアプローチの実現」
たアプローチの実現」
への取組みの開始 への取組みの開始
現下の経済情勢への 現下の経済情勢への 対応を支える取組みの 対応を支える取組みの 推進 推進
まずは
「すべての 主体に事故 前提の自覚 を」!
第2次基本計画に基づく最初の年次計画であり、我が国の情報セキュリティ政策における2009年度の 重要施策と2010年度の重要施策の方向性を定める。
①新たなテーマに対する官民の共通認識の形成
①新たなテーマに対する官民の共通認識の形成
新たなテーマ「事故前提社会」、「合理性に裏付けられたアプローチ」等について、
重要インフラのサービスの維持及びIT障害発生時の迅速な復旧等の確保を始 めとした官民各主体の共通認識を形成させ、それらの定着を図ることにより、自 主的な取組みを引き出し、持続させることのできるよう、環境整備を行う。
②電子政府の推進
②電子政府の推進
電子政府を便利で安心して利用可能なものとするため、適切な形で情報セキュ リティ対策を盛り込んでいく。
③情報セキュリティ人材の確保・育成
③情報セキュリティ人材の確保・育成
情報セキュリティに関る知見・技能を有した人材の確保・組織の対策実施体制の 整備など、人的基盤を強化する。
④国際連携・協調の推進
④国際連携・協調の推進
IT 化が進む社会の継続性を高めるため、国境を越えて発生する IT 障害等に効 果的に対処することを目指し、情報セキュリティに関する国際連携・協調を一層 加速させるとともに、企業の国境を越えた経済活動を支援するため、安全・安心 な情報セキュリティ基盤の整備の実施に向けた継続的な取組みを行う。
⑤情報セキュリティ技術戦略の推進
⑤情報セキュリティ技術戦略の推進
真に必要とされる情報セキュリティ技術について、「ITを安心して利用可能な環 境」の構築に技術面からも取り組むため、技術戦略を積極的に推進する 。
第2次基本計画中の
取組みの方向性 「セキュア・ジャパン2009」のポイント
○ ○
○ ○
○ ○
別紙2-3
政府機関の対策実施状況報告(2008年度)の概要 政府機関の対策実施状況報告(2008年度)の概要
1 対策実施状況報告の実施目的
2 2008年度の報告の範囲
政府機関の情報セキュリティ対策は、「2009年度初めには、すべての政府機関において政府機関統一基準が求める水準の対策を実施していることを 目指す」(第1次情報セキュリティ基本計画)ことが目標とされている。
この目標を達成するため、政府機関全体としての情報セキュリティ対策を推進する観点から、各府省庁の対策の実施状況をNISCにおいて把握。
政府機関の情報セキュリティ対策は、「2009年度初めには、すべての政府機関において政府機関統一基準が求める水準の対策を実施していることを 目指す」(第1次情報セキュリティ基本計画)ことが目標とされている。
この目標を達成するため、政府機関全体としての情報セキュリティ対策を推進する観点から、各府省庁の対策の実施状況をNISCにおいて把握。
2006年度、2007年度と徐々に対象範囲を拡大し、第1次情報セキュリティ基本計画の最終年度である2008年度には、すべて の対象を報告することを求めた(前年度比約2倍)。
(休職等により、情報を取り扱わないものを除き、政府機関のすべての職員が報告対象。)2006年度、2007年度と徐々に対象範囲を拡大し、第1次情報セキュリティ基本計画の最終年度である2008年度には、すべて の対象を報告することを求めた(前年度比約2倍)。
(休職等により、情報を取り扱わないものを除き、政府機関のすべての職員が報告対象。)3 報告の概要及び2009年度に向けた課題
報告の概要
・ 政府機関全体で約55万人分の対策実施状況について報告があった。これを分析した結果、概要は以下のとおり。(数値は全府省庁の平均値)
- 状況が把握できた者の割合を示す把握率は約97%
- 責務が生じた者に占める対策を実施した者の割合を示す実施率は約97%
- 一定の割合以上の実施率を有する遵守事項の割合を示す到達率のうち、実施率が100%の遵守事項の割合は約76%
・ また、遵守事項別では、政府全体として「情報セキュリティ対策の教育」、「情報の格付け・取扱制限に係る措置」、「各種規程・手順の整備」等に課題 が残っていることが認められた。他方、「情報システムの台帳整備」については、前回(2007年度)から各府省庁とも改善が認められる。
2009年度に向けた課題
・ 2006年度と比較して、一定の成果が認められるが、第1次情報セキュリティ基本計画の目標からすれば、上記に掲げるように、なお不十分な点が あり、第2次情報セキュリティ基本計画期間においても、取り組むべき課題が依然として残っている。
・ 2008年度に初めて政府全体が報告対象となり、各府省庁においては、今後、経年比較ができる状況が整ったことから、実施状況を自ら分析して原 因を特定するなど、能動的な改善をより一層推進するとともに、NISCにおいても、適宜、その状況をフォローし、必要な協力を行う必要がある。
報告の概要
・ 政府機関全体で約55万人分の対策実施状況について報告があった。これを分析した結果、概要は以下のとおり。(数値は全府省庁の平均値)
- 状況が把握できた者の割合を示す把握率は約97%
- 責務が生じた者に占める対策を実施した者の割合を示す実施率は約97%
- 一定の割合以上の実施率を有する遵守事項の割合を示す到達率のうち、実施率が100%の遵守事項の割合は約76%
・ また、遵守事項別では、政府全体として「情報セキュリティ対策の教育」、「情報の格付け・取扱制限に係る措置」、「各種規程・手順の整備」等に課題 が残っていることが認められた。他方、「情報システムの台帳整備」については、前回(2007年度)から各府省庁とも改善が認められる。
2009年度に向けた課題
・ 2006年度と比較して、一定の成果が認められるが、第1次情報セキュリティ基本計画の目標からすれば、上記に掲げるように、なお不十分な点が あり、第2次情報セキュリティ基本計画期間においても、取り組むべき課題が依然として残っている。
・ 2008年度に初めて政府全体が報告対象となり、各府省庁においては、今後、経年比較ができる状況が整ったことから、実施状況を自ら分析して原 因を特定するなど、能動的な改善をより一層推進するとともに、NISCにおいても、適宜、その状況をフォローし、必要な協力を行う必要がある。
前々回(2006年度) 前回(2007年度) 今回(2008年度)
約30倍 約2倍 未報告
報告対象外 報告対象外(注)
報告対象 約1万人
報告対象 約30万人
報告対象 約55万人
(注)各府省庁からNISCへの 報告の対象外としたもの。
別紙3-1
政府機関の対策実施状況報告(2008年度)の評価結果
政府機関の対策実施状況報告(2008年度)の評価結果【 【実施主体ベース 実施主体ベース】 】
1 把握率
2 実施率
把握率:各府省庁が報告対象とした者のうち、対策実施状況が把握できた者の割合 実施率:把握した者のうち、責務が生じた者に占める対策を実施した者の割合
到達率:把握した者のうち、責務が生じた一定の割合(100%、95%、90%)以上の者が対策を実施した遵守事項の割合
3 到達率
全府省庁の平均把握率
⑤ 到達率でみると、責任者等に比べ、特に職員が低くな
る傾向が顕著に現れた。⑥ 職員は責任者等やシステム担当と比して、対象数が
多いことや、日々の業務において日常的に実施しなけ ればならない遵守事項が多いことから、すべての職員が遵守事項を実施することは難しく、到達率100%達成に は困難な面があるが、万一の事故防止のためには日々
の取組が重要であり、対策がすみずみまで浸透するよう な努力が必要である。③ 平均実施率は約97%となっており、責任者等が高
く、システム担当、職員の順に低い結果であった。④ 情報セキュリティ対策について組織的な責務を果 たすべき責任者等の実施率が未だに100%に満た
ないことは問題であり、早急に改善が必要である。全府省庁の平均実施率
全府省庁の平均到達率 96.9%
97.3%
① 昨年度比で2倍、人数で約25万人と大幅に報告対 象が増えた中、平均把握率は約97%と昨年より向上 しており、多くの省庁で対策実施状況が把握できてい
る結果であった。② ただし、対策実施状況の把握は、情報セキュリティ 水準の維持・向上に不可欠であることから、政府機関 全体で把握率100%を達成すべく、今後さらなる向上 が望まれる。特に、把握率の低い府省庁にあっては、
把握率の改善手段を早急に検討する必要がある。
責任者等:最高情報セキュリティ責任者、情報セキュリティ委員会、情報セキュリティ監査責任者、情報セキュリティ監査 実施者、統括情報セキュリティ責任者、情報セキュリティ責任者、課室情報セキュリティ責任者、許可権限者及び 情報セキュリティ関係規程を整備した者
システム:情報システムセキュリティ責任者(情報システムセキュリティ責任者を含む複数の者が主体となっているものを 含む)、情報システムセキュリティ管理者及び権限管理を行う者
全対象者が対策を実施した遵守事項の割合 95%以上の対象者が対策を実施した遵守事項の割合 90%以上の対象者が対策を実施した遵守事項の割合
0% 25% 50% 75% 100%
責任者等
システム
職員
実施主体別把握率
0% 25% 50% 75% 100%
責任者等
システム
職員
実施主体別実施率
0% 25% 50% 75% 100%
責任者等
システム
職員
実施主体別到達率
100%実施した割合 :76.1%
95%以上実施した割合:86.5%
90%以上実施した割合:91.2%
別紙3-2
政府機関の対策実施状況報告(2008年度)の評価結果
政府機関の対策実施状況報告(2008年度)の評価結果【 【遵守事項ベース 遵守事項ベース】 】
(1) 情報セキュリティ対策の教育
(2) 情報の格付け・取扱制限に係る措置
(3) 各種規程・手順の整備 全府省庁の平均実施率
⑦ 情報システムが扱う情報や当該情報の格付けを含む事項を記載した情報システムの 台帳整備については、昨年度は課題とされたが、顕著な改善が認められる。
③ 情報の作成と入手時において、情報の格付けの
実施や格付けの明示等の実施が不十分である。④ 情報の保存時において、情報の暗号化等の実施
が不十分である。⑤ 情報の移送時において、管理者に対して行うべき
届出が不十分である。全府省庁の平均実施率 91.0%
98.6%
①
職員による教育受講が不十分であり、未受講者への受講指導の徹底も不十分である。② ただし、毎年度1回以上実施すべき教育の計画策定や着任・異動後3ヶ月以内に実施すべ き教育の計画策定は十分に行われている。
政府機関全体の実施状況について特筆すべき遵守事項は次のとおり。
全府省庁の平均実施率 96.3%
[統一基準(第3版)2.2.1]
[統一基準(第3版)3.2.1~3.2.6]
96.9%
(6)情報の消去
94.0%
(5)情報の提供
95.8%
(2)情報の利用
89.7%
(4)情報の移送
88.8%
(3)情報の保存
86.6%
(1)情報の作成と入手
実施率 遵守事項
(1) 情報システムの台帳整備 全府省庁の平均実施率
86.9%
⑥ 責任者が実施すべき各種情報セキュリティ対策の基礎となるべき規程・手順の整備におい て、暗号と電子署名、外部委託、府省庁外での情報処理の制限及びドメイン名の使用に係る
ものが不十分である。[統一基準(第3版)4.3.1(5)]
○ 各府 省庁に お い て は 、 今後、 実 施状況を自 ら 分析し て 原因を特定するなど 、 能動的な改善をよ り 一 層推進すると と も に 、 N I S C に お い て も、 適 宜 、 そ の 状況をフ ォ ロ ーし 、 必 要な協力を行う必要が ある ○ 各府 省庁に お い て は 、 今後、 実 施状況を自 ら 分析し て 原因を特定するなど 、 能動的な改善をよ り 一 層推進すると と も に 、 N I S C に お い て も、 適 宜 、 そ の 状況をフ ォ ロ ーし 、 必 要な協力を行う必要が ある 87.6%
(1)教育の実施 (2)教育の受講
1 今年度の課題
2 今年度改善した昨年度の課題
[統一基準(第3版)4.1.6(1)、6.1.2(1) 、6.2.1(1) 、6.3.3(1)]
遵守事項別実施率
別紙 3-3
政府機関の情報セキュリティマネジメントの総合的な評価 政府機関の情報セキュリティマネジメントの総合的な評価
「マネジメント評価」
府省庁における情報セキュリティマネジメントがPDCAサイクルの各段階で確実かつ 効果的に行われているかを評価
「計画」「周知」「実施」及び「評価と改善」の各段階にわたる評価指標に基づき、前回 2006年度評価も踏まえて府省庁のプラクティスを抽出、評価
「マネジメント評価」
府省庁における情報セキュリティマネジメントがPDCAサイクルの各段階で確実かつ 効果的に行われているかを評価
「計画」「周知」「実施」及び「評価と改善」の各段階にわたる評価指標に基づき、前回 2006年度評価も踏まえて府省庁のプラクティスを抽出、評価
政府機関評価指標 専門委員会
(2006年9月~10月)
『政府機関評価指標 マネジメント指標』
を策定
政府機関評価指標 専門委員会
(2006年9月~10月)
『政府機関評価指標 マネジメント指標』
を策定
情報セキュリティ 政策会議
第9回会合
(2006年12月13日)
第10回会合
(2007年2月2日)
情報セキュリティ 政策会議
第9回会合
(2006年12月13日)
第10回会合
(2007年2月2日)
『情報セキュリティ の観点から見た 我が国社会のあ るべき姿及び政策
の評価のあり方』
(2007年2月2日)
『情報セキュリティ の観点から見た 我が国社会のあ るべき姿及び政策
の評価のあり方』
(2007年2月2日)
評価指標
意見募集
(パブリックコメント)
意見募集
(パブリックコメント)
2008 年度 マネジメント評価
評価指標に基づく 調査・評価を実施
(2008年8月~2009年3月)
評価指標に基づく 調査・評価を実施
(2008年8月~2009年3月)
【今回報告】
情報セキュリティ政策会議
第21回会合
(2009年5月8日)【今回報告】
情報セキュリティ政策会議
第21回会合
(2009年5月8日)政府内外を問わず模範となる先進的な取り組みを実践している 政府機関の模範となる工夫が見られる
おおむね適切に行われている
政府内外を問わず模範となる先進的な取り組みを実践している 政府機関の模範となる工夫が見られる
おおむね適切に行われている
★★★
★★
★
2006年度 マネジメント評価
評価指標に基づく 調査・評価を実施
(2007年2月~7月)
評価指標に基づく 調査・評価を実施
(2007年2月~7月)
【中間報告】
情報セキュリティ 政策会議
第11回会合
(2007年4月23日)【中間報告】
情報セキュリティ 政策会議
第11回会合
(2007年4月23日)【全体報告】
情報セキュリティ 政策会議
第13回会合
(2007年8月3日)【全体報告】
情報セキュリティ 政策会議
第13回会合
(2007年8月3日)別紙4ー1
200 200 8 8 年度 年度 情報セキュリティ・ベストプラクティス 情報セキュリティ・ベストプラクティス
z
政府機関の模範となるプラクティス(★★)は「計画」及び「周知」を中心に 44 件から 82 件に増えた。
z
各府省庁の積極的なセキュリティ向上の取り組みにより、前回評価時の政府機関の模範となるプラクティスを参 考としたプラクティスは 29 件である。
z
概ね適切に行われているプラクティス(★)に到達していない★ゼロの件数は、前回評価時 137 件に対し、今回 27 件であった。
z
政府内外を問わず模範となる先進的なプラクティス(★★★)は見られなかった。
外部委託における情報セキュリティの確保
・調達仕様及び契約の整備
外部委託における情報セキュリティの確保
・調達仕様及び契約の整備 外務省
担当者の情報セキュリティに係る知識向上の支援
担当者の情報セキュリティに係る知識向上の支援 財務省
★★
情報資産台帳の整備・活用
情報資産台帳の整備・活用 総務省 厚生労働省
★★
IT活用による情報セキュリティ対策の強化
IT活用による情報セキュリティ対策の強化 警察庁
★★
省内ネットワークを活用した職員の支援
・ e ラーニングシステム
省内ネットワークを活用した職員の支援
・ e ラーニングシステム
★★
★★ 総務省
別紙4ー2
政府機関のWEB改ざんについて 政府機関のWEB改ざんについて
■事例2(B省)
4月13日(月)、 NISCからの連絡により、地方支分部局中の一般には公開されていないホームページが改ざん されていることが判明。13日(月)から該当システムを停止させていたが、安全確認後、16日(木)に運用を再開。
なお、当該改ざんについて、地方支分部局は4月7日(火)に把握していた。
■事例1(A省)
4月11日(土)、NISCからの連絡により、ホームページ中の一部ページが改ざんされていたことが判明。12日
(日)から該当システムを停止させていたが、所要の対策を講じた後、 28日(火)に一部運用を再開。
9 本年4月、複数の政府機関ホームページが改ざんされ、当該ホームページの運用を停止 せざるをえない事態が発生。
9 なお、情報の漏えいやコンピュータウイルス等の感染は確認されていない。
事例概況 事例概況
9 改ざんの把握から本省への報告、システム停止、
原因究明・対策に着手するまで時間を要した
→ ・緊急連絡体制が土日に十分機能しなかった
・官房、システム管理部局等、複数の関係者 にまたがる連絡系統
・技術的解析の蓄積、対応力の差異
事例から見えたこと 事例から見えたこと
緊急対応体制の再検証・
緊急対応体制の再検証・
見直しが必要ではないか 見直しが必要ではないか
改善の方策(例)
改善の方策(例)
システム管理のガバナンス システム管理のガバナンス
を再検討 を再検討
9 改ざん等の把握から迅速な対策を講じるための体制 の再確認、ルール(公開サーバの停止手順等)の徹底 9 土日の緊急連絡体制の再確認 (危機管理意識の保持)
9 サーバ、システムの集約(可能な限り管理を集約化)
別紙5
第1次行動計画の下、2007年度末までに全10分野14のセプターが整備され、活動中。
第1次行動計画の下、2007年度末までに全10分野14のセプターが整備され、活動中。
情報共有・分析機能(CEPTOAR)の整備状況 情報共有・分析機能(CEPTOAR)の整備状況
セ プ タ ー
(※) セプターとは、第1次行動計画の下、各重要インフラ分野内に重要インフラ事業者等により整備された「情報共有・分析機能」(CEPTOAR:Capability
for Engineering of Protection, Technical Operation,Analysis and Response)○○分野
△△分野
□□分野
××分野
※※分野
第 2 次行動計画においては、セプターにおける情報の収集、把握・分析、内部での共有、他セプ ターやセプターカウンシルへの発信などの機能の展開を目指す。
重要インフラ事業者等間の情報共有 重要インフラ事業者等間の情報共有
別紙6ー1
重要インフラ分野
概要
事業の範囲
事務局 名称
緊急窓口(POC)
情報の取扱い ルール 機能
情報と 連絡手段
その他 整備状況等
特徴
金融 航空 鉄道 電力 ガス 政府・行政サービス 医療 水道 物流
情報通信
生命保険 損害保険 航空 鉄道 電力 ガス 地方公共団体
電気通信 銀行等 証券
生命保険 CEPTOAR
損害保険 CEPTOAR
航空分野にお ける CEPTOAR
鉄道 CEPTOAR
電力 CEPTOAR
GAS CEPTOAR
自治体 CEPTOAR T-
CEPTOAR 銀行等
CEPTOAR
証券 CEPTOAR
社団法人生命 保険協会 総務部組織人 事グループ
社団法人日本 損害保険協会 業務企画部自 動車・海上グ ループ
国土交通省 航空局 航空 安全推進課 航空保安対策 室
国土交通省 鉄道局危機管 理室
電気事業連合 会
情報通信部
社団法人日本 ガス協会 保安技術グ ループ
財団法人地方 自治情報セン ター 自治体セキュリ ティ支援室
財団法人マルチメ
ディア振興センター 全国銀行協会
事務システム 部
日本証券 業協会 IT管理部
平成19年3月末に整備 46社
(社団法人生命 保険協会の定 款に定める社 員および特別 会員)
28社(含むオブ ザーバー3社)
(情報システム 委員会参加会 社)
2グループ 3機関
(航空運送事 業者、定期航 空協会及び官 庁(航空局・気 象庁))
22社1団体 1機関
(鉄道事業者2 2社、1団体及 び官庁(鉄道 局))
12社2機関
(一般電気事業 者、日本原電 (株)、電源開発 (株)、電気事業 連合会、電力中 央研究所)
10社
(政令指定都市 8社、同等の事 業者2社)
47都道府県 1,804市区町
村 29社・団体
(固定系のネット ワークインフラを設 置する電気通 信事業者、アク セス系の電気通 信事業者、ISP 事業者、携帯 電話事業者等)
1,662社
(銀行、信用金 庫、信用組合、
労金、商工中 金、農協等)
320社 10機関
(証券会社、取 引所等証券関 係機関)
平成19年4月より運用開始 平成19年
3月制定
平成19年 3月制定
平成19年 3月制定
平成19年 3月制定
平成18年 9月制定
平成19年 3月制定
平成19年 3月制定 平成19年
1月制定
平成19年 3月制定
平成19年 3月制定
分野内の利用 システム調査を 年1回実施。
社団法人生命 保険協会及び 財団法人金融 情報システムセ ンターによる障 害事例分析等 を実施し、分析 結果を通知す る機能を有する。
分野内の利用 システム調査 を年1回実施。
社団法人日本 損害保険協会 及び財団法人 金融情報シス テムセンターに よる障害事例 分析等を実施 し、分析結果を 通知する機能 を有する。
航空局による 障害事例分析 等を実施し、分 析結果を通知 する機能を有 すると共に、分 析結果をデー タベース化す る機能を有す る。
国土交通省鉄 道局危機管理 室が鉄道CEP TOARの窓口 となり、現在運 用されている 鉄道事故等報 告規則等に基 づく報告を活 用して情報の 共有を図ること としている。
12社2機関は、
Face to Face を含め、情報共 有を行う。行動 計画で対象とす る12社に留ま らず、分析機能 をサポートすべ く、電力中央研 究所も体制に 参画する。
分野内の利用 システム調査を 実施。
業界内でIT障 害の判断基準と なる考え方を共 有できるよう、
実務者による常 設のWGが、未 然防止策や再 発防止策等の 具体的な取り組 み課題を適切 にサポートする。
地方公共団体 の情報セキュ リティレベルの 向上を支援す るための各種 事業を実施。
情報セキュリ ティに関する各 種情報を、行 政専用ネット ワーク
(LGWAN)を活 用したメール及 びポータルサ イトにより提供。
放送 放送における 情報共有体制 社団法人日本 民間放送連盟
195社・団体
(日本放送協 会及び地上系 一般放送事業 者)
平成19年 3月制定
放送事業者間 の連携を重視 した連絡体制 運営委員会のも
とに、業態の違い による4つのSG を設置し、全体と して密な情報共 有の実現を目指 す。
Telecom-ISAC Japan及び社団 法人電気通信事 業者協会におけ る情報共有等の 先進的な取組が 母体。
T-PoC(T-CEPT OARのPoC)及 び4つのSGの代 表者によって構 成される運営委 員会において、情 勢判断等を実施。
情報セキュリ ティ対策委員 会及び財団法 人金融情報シ ステムセンター による障害事 例分析等を実 施し、分析結 果を通知する 機能を有する。
各証券関連団 体及び財団法 人金融情報シ ステムセンター による障害事 例分析等を実 施する機能を 有する。
金融CEPTOAR連絡協議会
1グループ 2機関
(医療機関、日 本医師会(情 報共有機能)、
保健医療福祉 情報システム 工業会(情報 分析機能))
平成20年 3月制定 障害事例情報 等
メール、電話、
携帯電話、衛 星電話、FAX 都道府県等を 通じた既存の
(地震等災害 時の)情報連 絡体制を活用 する。
保健医療福祉 情報システム 工業会を活用 して障害事例 の調査・分析を 行い、各医療 機関への情報 提供等を行う。
医療 医療 CEPTOAR 厚生労働省
平成20年 3月制定 障害事例情報 等
メール、電話、
携帯電話、衛 星電話、FAX 日本水道協会 の会長都市及 び7地方支部 長都市の8構 成員を連絡拠 点とし、既存の 情報連絡体制 を活用して会 員水道事業体 との情報連絡・
共有を図る。
既存の会議体 を活用して障 害事例の調 査・分析を行い、
全国の会員水 道事業体への 情報提供等を 行う。
平成20年 3月制定 障害事例情報 等
メール、電話
様々な物流関 連の業態が存 在する分野で ある。
事務局が各分 野団体の窓口 となり、IT障害 情報について は必要に応じ て関係者間の 情報共有を図 る。
水道 水道 CEPTOAR 社団法人日本 水道協会 総務部庶務課
物流 物流 CEPTOAR 社団法人日本 物流団体連合 会
障害事例情報 等
メール、電話
障害事例情報 等
メール、電話
障害事例情報 等
メール、電話
障害事例情報 等
メール、電話
脆弱性に関す る情報等 メール、電話、
携帯電話、FAX、
電子会議室、会 議体
障害事例情報 等
メール、電話、
携帯電話、FAX
障害事例情報 等
メール、電話、
WEB 障害事例情報
等
メール、電話、
FAX
障害事例情報 等
メール、 WEB、
電話
障害事例情報 等
メール、電話、
FAX、WEB 障害事例情報
等
メール、電話、
FAX 構成員
(主な事業者等)
1,389水道事 業体
(全国の会員 水道事業体)
16社6団体
(物流事業者)
平成20年3月末に整備
平成20年4月より運用開始
2009年3月末日現在
(注) 本マップは、各セプターの自主的な整備状況を把握し、マップとして取り纏めたもの。 Ver.Ver.33
(4月1日より)
財団法人 日本 データ通信協会 テレコム・アイ ザック推進会議
(4月1日より)
総務部総務課
「セプター特性把握マップ」
「セプター特性把握マップ」 について について
別紙6ー2
・重要インフラの情報セキュリティ対策の向上を図るため、11のセプターにより、2月26日に創設。
・政府機関から独立した会議体として、分野横断的な情報共有等の連携を推進。
・重要インフラの情報セキュリティ対策の向上を図るため、11のセプターにより、2月26日に創設。
・政府機関から独立した会議体として、分野横断的な情報共有等の連携を推進。
セプターカウンシルの創設について セプターカウンシルの創設について
セプターカウンシル
事務局
(NISC)
セプター
(情報通信分野:放送)
セプター
(金融分野:銀行)
セプター
(政府・行政サービス分野)
セプター
(金融分野:証券)
セプター
(金融分野:生命保険)
セプター
(金融分野:損害保険)
セプター
(水道分野)
セプター
(航空分野)
セプター
(電力分野)
セプター
(ガス分野)
セプターカウンシル総会 オブザーバ
(財)金融情報システムセンター
総会
幹事会
WG WG WG
※幹事会はセプターカウンシルの綜合的な企画調整・運営を行う
※WGは必要に応じて設置される
セプター(鉄道分野)
セプター(医療分野)
セプター(物流分野)
(社)日本経済団体連合会 日本銀行
国土交通省 金融庁 総務省 厚生労働省 経済産業省 セプター
(情報通信分野:通信)
セプターのイメージ セプターのイメージ A社 B社 C社
D社 E社 F社
順不同
順不同
