1
報道発表
平成21年2月3日 内閣官房情報セキュリティセンター(NISC)
第
20回情報セキュリティ政策会議の開催について
-「第2次情報セキュリティ基本計画」の決定等-
本日、「情報セキュリティ政策会議」(議長:内閣官房長官 以下、「政策会議」という。)の第20回会合 が開催され、その概要は以下のとおり。
なお、本会合では、「第 2 次情報セキュリティ基本計画」(案)、「政府機関の情報セキュリティ対策の ための統一基準(第4版)」(案)及び「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)
について決定された。
1.「第2次情報セキュリティ基本計画」下での政策推進について
我が国の情報セキュリティ政策は、情報セキュリティ問題全般に関する全体設計図である「第2次情 報セキュリティ基本計画」(以下、「第2次基本計画」という。)と、領域別の個別設計図の組み合わせで 推進。
この組み合わせにより、個別領域縦割り的対応を排し、我が国全体として主体横断的・領域横断的な 視点を持って、複雑化する情報セキュリティ問題への的確な対応を推進。
また、本会合において、以下の3つの文書が案のとおり決定。
「第2次情報セキュリティ基本計画」
「政府機関の情報セキュリティ対策のための統一基準(第4版)」
「重要インフラの情報セキュリティ対策に係る第2次行動計画」
(1) 「第2次情報セキュリティ基本計画」について
現在の我が国の情報セキュリティ政策における基本計画である「第 1 次情報セキュリティ基本計 画」(平成18年2月2日情報セキュリティ政策会議決定)(以下、「第1次基本計画」という。)は、平 成18年度から平成20年度までの3年間計画であるため、平成21年度以降の次期基本計画を定 めるべく、「基本計画検討委員会」を設置。同委員会において、「第2次基本計画」(パブコメ案)を策 定し、平成20年12月10日から約1ヶ月間パブリックコメントを実施。本日、政策会議においてパブ リックコメントの結果を報告するとともに同案を決定。
【パブリックコメントの結果(概要)】
■ 実施期間 : 平成20年12月10日(水) ~ 平成21年1月13日(火)
■ コメント総数 : 12件【内訳 企業・団体 : 10件、 個人 : 2件】
■ コメントの概要等: 事故前提社会への対応力強化へ向け、事後対処等の具体的取組みに関する 意見、政府機関の人材の育成・確保における民間活用などの要望が中心的。
- 1 -
2 ・ 情報漏えい発生などにおける、被害拡大防止、二次被害防止などの事後対処について具体的
な対策が必要である。
・ 政府機関の人材育成・確保においては、民間の教育や資格制度を活用すべき。
・ 国際連携・協調に関して、事後対応における国際的な連携や協力を一層強化すべき。
・ 重要インフラにおけるセプターカウンシルの設立については独立性を確保する必要がある。
・ 誤字・脱字の指摘、表現上の指摘、用語説明の追加要望 等
【コメントを受けての対応】
■ 誤記修正、表現の適正化及び用語説明の追加について対応を行った。
■ 上記の他は、パブコメ案のままとした。
■ 頂いた御意見は、今後の政策運営に当たっての参考とするなど、適切に活用させていただくことと した。
(「第1次基本計画」の成果例)
第1次基本計画の成果:「情報セキュリティ政策の立上げ」
○ 関係者の「気付き」を高めた
(例) →Winnyに代表されるP2Pソフトウェアによる情報流出の危険性
→システム障害で事業が止まる危険性
○ 政策推進の枠組みを構築
(例) →政府機関統一基準に基づく対策と評価
→重要インフラ事業者間での情報共有体制
○ 事前対策の取組みが進捗
(「第2次基本計画」の目標)
「政策の継続と更なる発展」
○ 具体的取組みの持続的な推進と新たな課題への政策的対応
第1次基本計画の下で構築した基盤(枠組み)を活用して、具体的取組みを機能させる。
○ 「事故前提社会」への対応力強化
事前予防の継続的な推進に加え、事後対応力の強化を図る。
○ 合理性に裏付けられたアプローチの実現
情報資産の重要度とリスクの評価に基づいて合理的(適切)な水準の対策を実施。
(「第 2 次基本計画」のコンセプト)
○ 基本目標:「ITを安心して利用できる環境」の構築
○ 基本理念:IT時代の力強い「個」と「社会」の確立
○ 取組み方法:「新しい官民連携モデル」+情報提供側も視野に入れた取組みの推進
(「第 2 次基本計画」実施後の我が国社会の姿)
情報セキュリティに対する絶対的な無謬性の追求から脱却し、十分な事前対策を行ったとしても事 故が起こりうる場合があることを念頭に置いた取組みを進めることの重要性が国民に認知され、万一 の事態でも、各主体の事前準備や冷静かつ適切な対応により、事業継続性の確保や事後対応がな
- 2 -
3 される。また、主体ごとに、許容可能な範囲内にリスクを管理する形で、効果的・効率的に情報セキュ リティ対策が実施されている。こうしたことの前提としては、一人一人が、また社会全体が理性的かつ 主体的に考えられること(すなわち、IT時代の力強い「個」と「社会」の確立)が不可欠であり、このよう な状況の実現に向けて進展が見られている。
(「第 2 次基本計画」の主な施策)
○ 各政府機関が自発的に取組みを推進するための仕組みの構築
各政府機関に、最高情報セキュリティ責任者を補佐する専門的知見を持つ最高情報セキュリティ アドバイザーの設置を義務化するとともに、これら専門家の指示やアドバイスが組織全体に迅速か つ確実に反映できる仕組みを構築する。また、情報セキュリティ対策に関する説明責任を果たすた め、各情報システムの現状を把握した上で、情報セキュリティに対する考え方、情報セキュリ ティ対策に係る目標や計画及びその実績と評価などについて客観的指標を積極的に活用して 記述した「情報セキュリティに係る年次報告書」(情報セキュリティ報告書)を作成する。そ の際、報告書の客観性を確保する観点から、最高情報セキュリティアドバイザーがその作成に 参画する。また、報告書は、最高情報セキュリティ責任者が、情報セキュリティ政策会議の下 に設置されている「情報セキュリティ対策推進会議」等の場において報告し、公表する。
○ リソース不足に負けない中小企業の情報セキュリティ対策の推進
人員、予算、ITインフラなど、主にリソース不足から対策が遅れがちである中小企業の情 報セキュリティ対策が促進されるよう、様々な対策の中から適切な対策を容易に選択できるよ うな環境を整備する。例えば、適切な情報セキュリティレベルを測るために活用される情報セ キュリティベンチマークを引き続き改善し、自社の情報セキュリティレベルを客観的評価とし て提示するための統一的なチェックリストの開発、普及を図る。
また、中小企業のセキュリティ対策を促進するためには、簡便かつ安価なセキュリティ対策 ツールを提供するなどの効果的な取組みが必要であるため、SaaSやASPなどの活用の促 進及びこれらサービス提供事業者における情報セキュリティ対策基準の提示・啓発などの取組 みを行う。
○ 我が国のイニシアティブにより One-Asia の実現へ
アジアにおける脅威に対応し、情報セキュリティ対策の強化のための連携を推進するべく、
以下の三つの取組みを実現することを目指す。
第一に、人のつながりの必要性を認識し、アジアにおける脅威動向の把握・分析を我が国と ともに行う専門家・研究者を積極的に養成する。第二に、現在、国際機関や国際フォーラム等 で議論されているアジアにおける共同の脅威動向の把握機能創設のための取組みに対し、我が 国にとっても大きなメリットのある形で支援を行う。第三に、我が国は第1次基本計画期間中 に構築した米国、欧州との連携を更に強化し、ベストプラクティスの共有や共同の取組みを通 じて得られた教訓、情報をアジア地域に積極的に還元していく。
○ 官民の緊密な協力によるサイバー犯罪の根絶へ
法執行機関における取締り体制の強化、技能の向上、国際協調の推進等の基盤強化を一層推
- 3 -
4 進する。
また、原因特定や犯行過程解明に不可欠な情報提供がなされ、被疑者の検挙や被害の拡大防 止につなげられるよう、法執行機関と被害者等との間の良好な協力関係の構築を一層推進する など、犯罪に強いIT社会構築のための官民連携に向けた取組みを推進する。
さらに、国民がサイバー犯罪の被害者とならないよう、犯罪の被害状況や手口、具体的な対 策の方法等に関する広報啓発を一層推進する
(別紙1-1-1~1-1-6参照)
(2) 政府機関の情報セキュリティ対策に係る決定について
① 「政府機関の情報セキュリティ対策のための統一基準」改訂について
政府機関における情報セキュリティ対策の統一的な基準である「政府機関の情報セキュリティ対策 のための統一基準」については、技術や環境の変化等を踏まえ、必要に応じて見直しを行うこととし ており、今回は、最近の事案の検証結果や現行の基準で対応していない新たな脅威へ対応するた め見直しを行い、平成20年12月10日から約1ヶ月間パブリックコメントを実施。本日、政策会議に おいてパブリックコメントの結果を報告するとともに同案を決定。
【パブリックコメントの結果(概要)】
■ 実施期間 : 平成20年12月10日(水) ~ 平成21年1月13日(火)
■ コメント総数 : 11件【内訳 企業・団体 :8件、 個人 :3件】
■ コメントの概要等: 不正プログラム対策やデータベースに係る対策についての意見が中心的。
・ アンチウイルスソフトでも検知出来ない不正プログラムに対する予防措置について、解説ではな く本文に明記すべき。
・ 開発者等による不正アクセスが行われる可能性があるため、本番環境では、開発環境での識別 コード等を利用しないようにするべき。
・ Webアプリケーションの脆弱性を利用した攻撃に備えるため、アクセスログを定期的に分析する ことを明記するべき。 等
【コメントを受けての対応】
アンチウイルスソフトウェアでも検知出来ない不正プログラムに対する予防措置について追記する 等、遵守事項において5箇所の修正を行うとともに、補足的な説明として解説文に7箇所の修正を行 った。
(改訂概要)
◇ 第2次情報セキュリティ基本計画を踏まえた対応 最高情報セキュリティアドバイザーの設置を義務化
◇ 技術・環境の変化への対応
・ ウェブの閲覧・送信時や電子メールのボット被害の危険性への対応 ・ 無線LAN環境の脆弱性への対応
◇ 実務に即した遵守事項の見直し等 ・ 基本編と情報システム編への分割
・ 政府機関統一基準解説書の記述の明確化 等
今回の改訂により、政府機関における情報セキュリティ対策に係るPDCAサイクルの各プロセスに
- 4 -
5 おけるマネジメントが強化されるとともに、電子メールの送受信やウェブの閲覧・送信時に係るセキュ リティが向上することにより、政府機関の情報セキュリティのより一層の向上が見込まれる。
今後も、必要に応じて統一基準を見直すことにより、国内外の様々な組織にとって模範となるよう な情報セキュリティ対策を実現し、国民からの信頼に応えることができる安全かつ安心で効率的な行 政運営、行政サービスの提供を行うことが可能な情報セキュリティ水準を確保していく。
(別紙1-2-1~1-2-2参照)
② 情報セキュリティ報告書専門委員会の設置について
政府機関の情報セキュリティ報告書作成のためのガイドラインの策定、情報セキュリティ報 告書の定量的評価等の手法等に係る事項について調査検討を行うための委員会として、情報セ キュリティ報告書専門委員会を設置することを決定。
(別紙1-2-3参照)
(3) 「重要インフラの情報セキュリティ対策に係る第2次行動計画」について
官民の緊密な連携の下、重要インフラの情報セキュリティを強化することを目的とした、「重要イン フラの情報セキュリティ対策に係る行動計画」(平成17年12月13日情報セキュリティ政策会議決定)
については、平成18年度から平成20年度までの3年間の計画であるため、平成21年度以降の行 動計画を定めるべく、重要インフラ専門委員会において検討を実施。
検討の結果を、重要インフラ防護に責任を有する政府と重要インフラ事業者等が自主的な取り組 みを進めるに当たっての共通の行動計画とすべく、「重要インフラの情報セキュリティ対策に係る第2 次行動計画」(以下、「第2次行動計画」という。)のパブコメ案を取りまとめ、平成20年12月10日か ら約1ヶ月間パブリックコメントを実施。本日、情報セキュリティ政策会議においてパブリックコメントの 結果を報告するとともに同案を決定。
【パブリックコメントの結果(概要)】
■ 実施期間 : 平成20年12月10日(水) ~ 平成21年1月13日(火)
■ コメント総数 : 8件【内訳 企業・団体 : 4件、 個人 : 4件】
■ コメントの概要等: セプター及びセプターカウンシルを通じた情報共有に関する意見が中心的。
・ セプターの強化ならびにセプターカウンシルの創設により情報共有体制の強化を推進すべき。
・ セプターカウンシルの独立性を確保すべき。また、事務局をNISCが務めるべきではない。
・ 検証レベルを設定したことは評価できる。
・ 表現上の指摘 等
【コメントを受けての対応】
■ 一部表現をわかりやすくするための修正を加えた。
■ 上記の他は、パブコメ案のままとした。
(「第2次行動計画」のポイント)
○ 引き続き、「重要インフラにおける IT 障害の発生を限りなくゼロにすること」を目指すとともに、
「IT障害が国民生活や社会経済活動に重大な影響を及ぼさないようにすること」を目標とする。
○ 新たに、分野ごとに重要インフラサービスの検証レベルを設定して着実に改善を実施。
- 5 -
6
○ 第1次行動計画において設定した施策の4つの柱(※1)のほかに、新たに「環境変化への対応」
を5つ目の柱に掲げ、変化に対する察知能力の向上と機敏な対応に取り組む。
※1 4つの柱とは、①安全基準等の浸透、②情報共有体制の強化、③共通脅威分析、④分野横断的演習を指す。
(「第 2 次行動計画」実施後の我が国社会の姿)
○ IT 障害は発生しないか、発生しても国民生活や社会経済活動に重大な影響を与えるような事態 には至らない。
○ 各関係主体は、各々守るべき重要インフラサービスと維持すべきサービスレベルを踏まえて、自 らがなすべき必要な対策を理解している。また、自らのおかれている状況を正しく認識するととも に、自らの活動目標を主体的に定めている。これにより、各関係主体は、各々必要な取組みを進 めており、これについて定期的に自己検証を行うとともに、主体間で、自主的な協力が行われてい る。
○ 「情報セキュリティガバナンス」という考え方が十分に浸透し、社会基盤の情報セキュリティを強化 するためには、可能な限り情報共有するという姿勢が積極的に評価される価値観が醸成されてい る。
すなわち、「安心があたりまえ」な「誰もが安心できる社会基盤」が実現されている。
(別紙1-3-1~1-3-5参照)
- 6 -
7 2.政府機関における情報セキュリティ対策の状況について
(1) 全政府機関の情報セキュリティ対策の実施状況に関する重点検査及び評価結果について
~2008 年度重点検査の評価結果~
【概要】
1.検査対象 : 全19府省庁(本省及び地方支分部局)の情報システム
2.検査期間 : 平成 20 年7月(調査票配布)から同年 12 月(平成 20 年 11 月1日時点の実施状況 を検査)
3.検査方法 : NISCが配布した調査票に基づき、各府省庁が内部調査を行い回答。両者間で回 答内容の確認作業等を行い、NISCから1月上旬に評価結果を各府省庁に通知。
【結果】
○ 政府機関全体における検査対象の保有台数及び情報セキュリティ対策の実施率・評価 ・ 端末:約 55 万台(前回:約 53 万台) 98%・評価B(前回:93%・評価B)
・ ウェブサーバ:約 1,000 台(前回:約 1,400 台) 99%・評価B(前回:93%・評価B)
・ 電子メールサーバ約 1,900 台(前回:約 1,900 台) 99%・評価B(前回:96%・評価B)
政府機関統一基準に準拠した適切な対策が概ね実施されているものの、一部に対策が不十分な 項目がみられる。
【所見】
① 端末・ウェブサーバ及び電子メールサーバは、対策が不十分な場合、情報の漏えいや改ざん等 により国民・職員に影響を及ぼすリスクが高いため、対策が不十分な項目の早急な改善が必要。
② 政府機関全体で、ウェブサーバ約 1,000 台、電子メールサーバ約 1,900 台が設置・運用されてお り、情報セキュリティの観点から、ウェブサーバ及び電子メールサーバの集約化を検討すべき。
③ 今後、第2次基本計画の実現に向け、検査内容の更なる充実を図ることが必要。
(別紙2-1-1~2-1-4参照)
(2) 「政府機関の情報システムにおいて使用している暗号アルゴリズム SHA-1 及び RSA1024 に係 る移行指針」に基づく検討状況について
【政府機関における検討状況(中間報告概要)】
z 新たな暗号アルゴリズムによる電子証明書の発行開始可能時期は、「2014年度早期」とする。
z 従来の暗号アルゴリズムによる電子証明書の検証終了可能時期は、「2015年度早期」とする。
z GPKI(※2)及び商業登記認証局(※3)の切替時期については、他の関係機関を踏まえた認 証基盤全体としての切替時期に合わせることとする。ただし、上記時期にも対応可能とするため、
必要となる対応をあらかじめ検討しておくこととする。
※2 Goverment Public Key Infrastructureの略であり、政府認証基盤とも呼ばれる。電子申請における申請 者や書類の改ざんの有無を公開鍵暗号方式によるデジタル署名を用いて確認するための仕組み。
※3 法務省が運営している商業登記制度に基礎を置き法人代表者等を認証する認証局のこと。
【経緯】
○ 第17回政策会議(平成20年4月22日)において、電子政府システムで、電子署名等のため に広く使用している SHA-1(※4)及び RSA1024(※5)と呼ばれる暗号方式の安全性の低下が
- 7 -
8 指摘されていることを受け、より安全な暗号方式への移行するため、「政府機関の情報システム に使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」を決定。
○ 移行に当たっては、相互運用性の確保等のため、政府機関以外の関係機関との調整が必須で あることから、当該移行指針においては、「新たな暗号アルゴリズムへの切替時期並びに SHA-1 及びRSA1024の使用停止時期について、2008年度中に検討する」こととされている。
○ 今回、政府機関の検討状況等について、経過を報告。
※4 ハッシュ関数SHAの一つで、与えられたデータから160ビットの固定長の値を生成する。
※5 公開鍵暗号方式の一つで、暗号アルゴリズムをRSA、鍵の長さを1024ビットとしたもの。
(別紙2-2-1~2-2-2参照)
- 8 -
9
3.第1回日ASEAN情報セキュリティ政策会議の開催について
【会議概要】
1.会議日程等 2009年2月24日(火)、25日(水) 於:都内ホテル 2.参加者
・ ASEAN各国(※6)の経済・投資関連省庁、情報通信関連省庁の局長クラス
・ ASEAN事務局(経済、投資、情報通信担当)
・ 日本の産業界・セキュリティ対策機関
・ 主催省庁(内閣官房・総務省・経済産業省)
※6 インドネシア、カンボジア、シンガポール、タイ、フィリピン、ブルネイ、ベトナム、マレーシア、ミャンマー、ラオス
3.全体議長 東京大学公共政策大学院教授 林 良造 4.会合の概要
グローバルな経済活動を支える情報及び情報通信インフラの信頼性・セキュリティを確保するこ とを通じ、安全・安心な投資環境を整備し、日ASEAN間の経済関係の深化を下支えすることを目 的とする。
取組みの実施に当たっては、特に、関連省庁、官民の横断的な連携を行っていく。
【主要テーマ】
テーマ1:知識社会における投資環境整備の観点
・ 情報セキュリティガバナンスについて(経済産業省)
・ グローバルなビジネス展開を行う日本企業にとっての情報セキュリティ(日本経団連)
テーマ2:セキュアなICT利用にむけた環境整備
・ 情報通信ネットワークのセキュリティ確保・迷惑メール対策(総務省)
・ 電気通信事業分野における情報共有体制の強化(通信事業者等)
テーマ3:情報セキュリティの国家戦略の推進に当たっての政府の役割
・ 情報セキュリティの基本戦略(内閣官房)
【背景】
○ 東アジアへの日系企業の直接投資の拡大、国際委託の進展
→日本の知見・経験の共有による域内での情報セキュリティ対策水準の向上
○ 地域内でのIT障害に起因する国境を越えた被害が発生
→域内各国で官民連携して対応を行う枠組みの構築を通じ、情報インフラの信頼性向上
ビジネス活動の基盤である情報セキュリティの国際展開は、経済関係の深化を担保するものであるこ とから、まずはASEANとの協力関係を端緒として取組みを開始。
【アクションプラン(※7)(例)】
・ 現地企業向けの情報セキュリティセミナーの開催を通じた経営者向けの啓発活動
・ 域内の政策研究機関を通じた共同政策研究の実施
・ 域内の研究者の育成、研究協力の推進
・ 情報セキュリティに関するオペレーション強化に向けた、域内の関連組織間の連携の促進
※7 アクションプランは会合後に発表予定
(別紙3-1~3-3参照)
- 9 -
10 4.平成20年度「情報セキュリティの日」功労者表彰及び関連行事について
情報セキュリティの重要性について広く国民への普及・啓発を図るため、「情報セキュリティの日」を 毎年 2 月 2 日(※8)と定め、以下の取組みを実施している。
○ 情報セキュリティ対策の推進に尽力し、特に顕著な功績・功労のあった個人・団体を議長から表 彰。
○ 「情報セキュリティの日」の前後の期間に、政府機関を始め、他の関係機関、団体の協力の下、
様々な関連行事を集中的に開催。
※8 「第1次情報セキュリティ基本計画」を決定した日
(1) 平成 20 年度情報セキュリティの日功労者表彰について
「情報セキュリティの日」を推進する関係省庁(警察庁、総務省、文部科学省、経済産業省)の推薦 と内閣官房が把握している官民における取組みを踏まえ、内閣官房情報セキュリティセンターに民間 有識者からなる情報セキュリティ啓発推進委員会(委員長:情報セキュリティ大学院大学学長 辻井 重男)を設置し、候補者の上申案を作成。この上申案の中から議長が表彰者を決定。
【受賞者】
z 堀部 政男 氏(一橋大学名誉教授)
z 今井 秀樹 氏(中央大学理工学部教授)
z 藤原 靜雄 氏(筑波大学大学院教授)
z 市川市(千葉県)(地方公共団体、市長 千葉 光行)
z テレコム・アイザック推進会議 (Telecom-ISAC Japan、会長 伊藤 泰彦)
(別紙4参照)
(2) 平成 20 年度情報セキュリティの日関連行事について
「情報セキュリティの日」を中心に広く官民の協力を得て実施。国民各層における情報セキュリテ ィの意識向上を期待。
○ 総件数 626件(対前年比 6%増、前年:593件) ※ 平成 21 年 1 月 29 日までの申込み数
○ 開催時期 平成 21 年 1 月 24 日から 3 月 1 日までの間
○ 開催地域 全国 47 都道府県
○ 開催形態 セミナー、講演会、特設ホームページ(CHECK PC!)等
(別紙4参照)
- 10 -
11 5.重要インフラにおける情報セキュリティ対策の状況について
(1) 2008 年度分野横断的演習結果報告(速報)について
IT 障害発生時における重要インフラサービスの維持・早期復旧、事業継続等に向けた課題抽出 を目的として、2008年度分野横断的演習を実施。
本演習で得られた成果は、分野横断的な重要インフラ防護対策の向上に役立てるとともに、各事 業者等の情報セキュリティ対策の向上に向けた取組みに活用されることを期待。
なお、本演習結果の最終とりまとめについては、関係者の意見を踏まえつつ本年度末を目途に行 い、情報セキュリティ政策会議に報告する予定。
【開催概要】
・ 開催日時 平成20年12月1日(月) 12:30~18:30
・ 参加者数 136名(プレイヤー、事務局の合計)
・ 実施方法 分野ごとに小部屋に分かれ、メール、電話、Webページを用いて情報交換を実施
【演習結果(概要)】
(1) 障害の原因は開示せず、原因も複数設定し、障害発生時刻も異なる設定としたが、事前の準備 ならびに演習時に通信事業者、ITベンダー等から情報収集に努めた結果、全事業者等が原因を 特定するに至った。
(2) 情報は、情報連絡や情報開示のタイミングに差異は有るものの、官民の連携態勢が概ね整っ ていることを確認した。
(別紙5-1-1~5-1-3参照)
(2) 「安全基準等の見直し状況等の把握及び検証」について
各重要インフラ分野においては分野ごとの PDCA サイクルにて「安全基準等」の見直しを実施し ており、NISCでは毎年定点的に「安全基準等」の策定・見直し状況の把握及び検証を実施。今年度 は、各分野の独自の観点による見直しの実施状況について着目して調査を実施。
【総括】
○ 第1次行動計画の3年間を通じ、指針を起点とした安全基準等の確認・検証の継続的改善が定着。
○ 今後も、第2次行動計画に基づき、各分野の特性等を踏まえた自主的な改善についての取り組み を期待。
(別紙5-2-1~5-2-2参照)
【本件に関する問合せ先】
内閣官房情報セキュリティセンター(NISC)
山口補佐官、関参事官、安部参事官補佐 電話 03-3581-3768(センター代表)
※ 本日の会議資料は、内閣官房情報セキュリティセンターのホームページにおいて公表します。
(http://www.nisc.go.jp/conference/seisaku/index.html#seisaku20)
※ 「情報セキュリティ政策会議」は、平成17年5月30日のIT戦略本部決定によって設置されました。
(http://www.nisc.go.jp/press/pdf/050530seisaku-press.pdf)
- 11 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
■誤記修正、表現の適正化、及び用語説明の追加について対応を行った。 ■上記の他は、原案のままとした。 ■頂いた御意見は、今後の政策運営にあたっての参考とするなど、適切に活用させていただくこととした。
「第2次情報セキュリティ基本計画」(案)に対するパブリックコメントの「第2次情報セキュリティ基本計画」(案)に対するパブリックコメントの 結果結果 についてについて
○「第2次情報セキュリティ基本計画」(案)について審議を実施、パブリックコメントに付すことを決定。
第19回情報セキュリティ政策会議(H20.12.10) ■実施期間:平成20年12月10日(水)~平成21年1月13日(火) ■コメント総数:12件【内訳企業・団体:10件、個人:2件】 ■コメントの概要等:事故前提社会への対応力強化へ向け、事後対処等の具体的取組みに関する意見、政府機関の 人材の育成・確保における民間活用などの要望が中心的。 ・情報漏えい発生などにおける、被害拡大防止、二次被害防止などの事後対処について具体的な対策が必要である。 ・政府機関の人材育成・確保においては、民間のスキルフレームワークの参照、教育や資格制度を活用すべき。 ・国際連携・協調に関して、事後対応における国際的な連携や協力を一層強化すべき。国際的な情報セキュリティ人材の育成を目指すべき。 ・重要インフラにおけるセプターカウンシルの設立については独立性を確保する必要がある。情報共有のあり方、ルールを明確にすべき。 ・誤字・脱字の指摘、表現上の指摘、用語説明の追加要望等
パブリックコメントの概要
経緯 パブリックコメントの結果
○「基本計画検討委員会」による検討を実施(2008年1月~12月計16回) ○「次期情報セキュリティ基本計画に向けた第1次提言」を第18回情報セキュリティ政策会議(2008年6月19日)にて報告 ○「第2次情報セキュリティ基本計画」(案)の取りまとめ
基本計画検討委員会
別紙1-1-1
- 12 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
「第1次情報セキュリティ基本計画」の成果と「第1次情報セキュリティ基本計画」の成果と
「第2次情報セキュリティ計画」の目標「第2次情報セキュリティ計画」の目標
(目指す「姿」)(目指す「姿」)
1.第1次基本計画(’06~’08年) 1.第1次基本計画(’06~’08年) 2.第2次基本計画(’09年~’11年) 2.第2次基本計画(’09年~’11年)
関係者の「気付き」を高めた関係者の「気付き」を高めた
→P to Pソフトで情報流出の危険性 →サイバー攻撃で情報を盗まれる危険性 →システム障害で事業が止まる危険性
とりあえず政策推進の枠組みは構築とりあえず政策推進の枠組みは構築
→政府機関の統一基準に基づく対策と評価 →重要インフラ事業者間の情報共有体制 →日米、日ASEANで情報交換を行う枠組み
(問題が生じないための)事前対策の(問題が生じないための)事前対策の 取組みはある程度進展取組みはある程度進展
→但し、日々新たなリスクが生まれ、また変化 している
情報セキュリティ政策の立上げ
事前対策は当たり前のことに事前対策は当たり前のことに
問題が生じても、冷静かつ迅速に問題が生じても、冷静かつ迅速に 事後対応・復旧活動を推進できる事後対応・復旧活動を推進できる
情報を管理する側に加えて、情報を情報を管理する側に加えて、情報を 預ける側も取組みの対象に 預ける側も取組みの対象に
政策の継続と更なる発展
果 成 標 目
別紙1-1-2
- 13 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
全体設計図である「第2次情報セキュリティ基本計画」、分野単位の個別設計図全体設計図である「第2次情報セキュリティ基本計画」、分野単位の個別設計図 ○情報セキュリティ政策は、情報セキュリティ問題全般に関する全体設計図である「第2次 情報セキュリティ基本計画」 と、分野別の個別設計図 の組み合わせで推進する。 ○このような組み合わせに基づくことで、個別分野縦割り的対応を排し、我が国全体とし て分野横断的・政策領域横断的な視点 を持って、複雑化する情報セキュリティ問題への 的確な対応 を進める。
○情報セキュリティ政策は、情報セキュリティ問題全般に関する全体設計図である「第2次 情報セキュリティ基本計画」 と、分野別の個別設計図 の組み合わせで推進する。 ○このような組み合わせに基づくことで、個別分野縦割り的対応を排し、我が国全体とし て分野横断的・政策領域横断的な視点 を持って、複雑化する情報セキュリティ問題への 的確な対応 を進める。 「第2次情報セキュリティ基本計画」 (全体設計図)
「第2次情報セキュリティ基本計画」 (全体設計図) 「政府機関統一基準」 「政府機関統一基準」 「重要インフラ行動計画」 「重要インフラ行動計画」 企業、個人、横断分野、 政策の評価等
企業、個人、横断分野、 政策の評価等
ACTIONACTION
CHECKCHECK
DODOPLANPLAN
(個別設計図) (個別設計図) 情報セキュリ ティ 政策
別紙1-1-3
- 14 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
「第2次情報セキュリテ ィ 基 本計画」の全体像 「第2次情報セキュリテ ィ 基 本計画」の全体像 [1] [1] ○「第2次情報セキュリティ基本計画(パブリックコメント案)」は、情報セキュリティ問題全 般に係る中長期計画(全体設計図)として、今後の我が国の取組みに 関する、1)基本 的考え方と、2)重点政策の方向性を提示 。 ○具体的には、2009年度~2011年度までの3カ年計画 として策定。これまで同様、 本計画に基づいた年度ごとの推進計画である「セキュア・ジャパン」を策定 するとともに 、年度ごとの取組み状況や社会変化などに関する評価等 を行う予定。
○ 「第2次情報セキュリティ基本計画(パブリックコメント案)」 は、情報セキュリティ問題全 般に係る中長期計画(全体設計図)として、今後の我が国の取組みに 関する、 1)基本 的考え方 と、 2)重点政策の方向性 を提示 。 ○具体的には、 2009年度~2011年度 までの3カ年計画 として策定。これまで同様、 本計画に基づいた年度ごとの推進計画である「セキュア・ジャパン」を策定 するとともに 、年度ごとの取組み状況や社会変化などに関する評価等 を行う予定。
1.具体的取組みの持続的な推進、新たな課題への政策的対応(第1次基本計画で構築した取組みの各種枠組みを持続的に活用)
2.「事故前提社会」への対応力強化(十分な事前対策の取組みにも関わらず、万が一 問題が生じた場合を考えて準備を怠らない)
3.合理性に裏付けられたアプローチの実現(情報資産の価値、リスクの大きさに応じ た合理的( 最適) な水準の対策 を 実現)
第1次基本計画からの「発展」と「継続」 第1次基本計画からの「発展」と「継続」
別紙1-1-4
- 15 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
「第2次情報セキュリテ ィ 基 本計画」の全体像 「第2次情報セキュリテ ィ 基 本計画」の全体像 [2] [2]
●基本目標→「ITを安心して利用できる環境」の構築(第1次基本計画と同様。IT基本法第22条の実現)
●取組みにあたっての基本理念→「セキュリティ立国」の思想の成熟 (IT時代の力強い「個」と「社会」の確立
へ)(目指す「姿」は、最適な水準の取組みとセキュリティの実現であり、絶対的な無謬性の追求で はない → 絶対的な無謬性から脱却するには国民や社会全体の意識改革も不可欠)
●基本目標の実現に向けた取組み→官民の各主体が適切な役割分担を 果たす「新しい官民連携モデル」+(対策実施側のみならず)情報提供側も 視野に
入れた取組みの推進(第1次基本計画の下では、対策実施主体及び対策 支援主体によ る 「新しい官民連携モデル」 を追求。状況変化を踏まえ、新たに情 報提供側も視野に入れた取組みを推進)
第2次基本計画の基本的考え方 第2次基本計画の基本的考え方
別紙1-1-5
- 16 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
「第2次情報セキュリテ ィ 基 本計画」の全体像 「第2次情報セキュリテ ィ 基 本計画」の全体像 [3] [3]
●課題の把握から事前対策、事後対応
まで視野に入れた取組み(事前対策のみならず、万が一問題が生じた場合も視野に入れて事後対応の準備を進める)
●技術面での対応から制度面、人的側面
の対応まで視野に入れた取組み(技術開発から人材育成のような側面まで幅広く取組みを進める)
●国内における対策の推進から、情報セキュリティ確保のために国際的になさ れる活動
も視野に入れた取組み(IT利用・活用においては国境を越えるのは当然となっており、国内の取組みと国際的な取組み を有機的に結びつけた取組みとする)
●国民の日常生活
や経済活動
といった個別主体に関係の深い領域から、安全 保障
や文化
といった我が国全体に関係の深い領域にまで対応した取組み(情報セキュリティ問題は相当程度幅が広いこと に鑑み、様々な観点から柔軟か つ領域横断的に 取組みを進める)
第2次基本計画の下で取組みを行う政策領域 第2次基本計画の下で取組みを行う政策領域
別紙1-1-6
- 17 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)に対する「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)に対する パブリックコメントの結果についてパブリックコメントの結果について
○「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)について審議を実施、パブリックコメントに 付すことを決定。
第19回情報セキュリティ政策会議(H20.12.10) ■実施期間:平成20年12月10日(水)~平成21年1月13日(火) ■コメント総数:11件【内訳企業・団体:8件、個人:3件】 ■コメントの概要等:不正プログラム対策やデータベースに係る対策についての意見が中心的。 ・アンチウイルスソフトでも検知出来ない不正プログラムに対する予防措置について、解説ではなく本文に明記すべき。 ・開発者等による不正アクセスが行われる可能性があるため、本番環境では、開発環境での識別コード等を利用しないようにするべき。 ・Webアプリケーションの脆弱性を利用した攻撃に備えるため、アクセスログを定期的に分析することを明記するべき。等
【主な改訂内容】 ・最高情報セキュリティアドバイザー設置の義務化・基本編/情報システム編への分割 ・ウェブクライアントのセキュリティ設定、ウェブサイト送信時の安全確認に係る対策追加・遵守事項等の集約 ・電子メール送信時認証を基本遵守事項へ変更・解説書の記述の明確化等 ・要機密情報を取り扱う無線LAN環境での通信内容の暗号化の必要性を追記 アンチウイルスソフトウェアでも検知出来ない不正プログラムに対する予防措置について追記する等、遵守事項において5 箇所の修正を行うとともに、補足的な説明として解説文に7箇所の修正を行った。
パブリックコメントの概要
経緯 パブリックコメントの結果
別紙1-2-1
- 18 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
政府機関統一基準 政府機関統一基準 第4版 第4版 改訂案の概要 改訂案の概要 1.第2次情報セキュリティ基本計画案を踏まえた対応 1-1 政府機関における PDCAサイクルの各プロセスにおけるマネジメントの強化への対応 最高情報セキュリティアドバイザーの設置を義 務化し、専門家の指示やアドバイスが組織全体に迅速か つ確実に反映できる仕組みを構築。 2.技術・環境の変化への対応 2-1 ウ ェブの閲覧・送信時の危険性への対応 ウェブクライアントのセキュリティ設定、ウェブサイト送信時の安全確認に係る対策を追加。 2-2 電 子メールのボット被害の危険性への対応 電子メール送信時認証を基本遵守事項に変更。 2-3 無 線LAN環境の脆弱性への対応 要機密情報を取り扱う無線LAN環境については、通信内容の暗号化を必要とすることを追記。 3.実務に則した遵守事項の見直し等 3-1 基 本編と情報システム編への分割 2編分割により、省庁対策基準の決裁レベルを分けることを容易にし、より機動的な運用を可能とする。 3-2 遵 守事項の集約 文書整備に係る遵守事項等を集約し、分かりやすさの向上を図る。 3-3 政 府機関統一基準解説書の記述の明確化 等
別紙1-2-2
- 19 -
(案)
情報セキュリティ報告書専門委員会の設置について
平成21年 月 日 情報セキュリティ政策会議決定
1 情報セキュリティ政策会議(以下「政策会議」という。)における当面の 審議の充実に資するため、政策会議に、特定の事項の調査検討を行う専門委 員会として、情報セキュリティ報告書専門委員会(以下「専門委員会」とい う。)を置く。
2 専門委員会は、政府機関の情報セキュリティ報告書作成のためのガイドラ インの策定、情報セキュリティ報告書の定量的評価等の手法等に係る事項に ついて調査検討を行う。
3 専門委員会の委員は、2に掲げる事項について優れた見識を有する者であ って政策会議の議長が委嘱した者とする。
4 専門委員会の委員長は、その委員の互選により決する。
5 専門委員会の委員長は、必要があると認めるときは、専門委員会の委員以 外の者に対し、専門委員会の会議に出席して意見を述べることを求めること ができる。
6 専門委員会の庶務は、警察庁、総務省、経済産業省及び防衛省の協力を得 て、内閣官房において処理する。
7 前各号に掲げるもののほか、専門委員会の運営に関する事項その他必要な 事項は専門委員会の委員長が定める。
附 則
政府機関評価指標専門委員会は、廃止する。
資料 1-2-3
- 20 -
Copyright (c) 2009 National Information Security Center (NISC). All Rights Reserved.
「重要インフラの情報セキュリティ対策に係る第「重要インフラの情報セキュリティ対策に係る第
22
次行動計画」次行動計画」
((
案案
))
に対するに対する
パブリックコメントの結果についてパブリックコメントの結果について
○「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)の検討 ■一部表現をわかりやすくするための修正を加えた。 ■上記の他は、原案のままとした。
○「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)について審議を実施、パブリックコメントに 付すことを決定。
第19回情報セキュリティ政策会議(H20.12.10) ■実施期間:平成20年12月10日(水)~平成21年1月13日(火) ■コメント総数:8件【内訳企業・団体:4件、個人:4件】 ■コメントの概要等:セプター及びセプターカウンシルを通じた情報共有についての意見が中心的。 ・セプターの強化ならびにセプターカウンシルの創設により情報共有体制の強化を推進すべき。 ・セプターカウンシルの独立性を確保すべき。 ・セプターカウンシルの事務局をNISCが務めるべきではない。 ・検証レベルを設定したことは評価できる。 ・表現上の指摘等
パブリックコメントの概要
経緯 パブリックコメントの結果
重要インフラ専門委員会