我が国政府の情報セキュリティ問題への 取り組みについて
2008年1月16日
内閣官房情報セキュリティセンター(NISC)
http://www.nisc.go.jp/
資料4-1
我が国政府の情報セキュリティ問題への 取り組みについて
2.「第1次情報セキュリティ基本計画」の策定 (P8)
3.基本計画策定後の取組み (P13)
1.政府中核機能の整備(P2)
○ 「情報セキュリティ基本問題委員会」報告に基づき、政策会議、NISCの設置をIT戦略本部で決定。
○ 政策会議及びNISCを中心として、官民一体となった情報セキュリティ政策を推進。
○ 政策会議の下に、「セキュリティ文化」、「技術戦略」、「重要インフラ」の3専門委員会を設置して施策を検討。
○ これらを受け、中長期の戦略としての「第1次情報セキュリティ基本計画」を政策会議で決定。
○ 基本計画に基づき、政府機関統一基準、重要インフラ行動計画、技術戦略、国際協調・貢献、資格制度の 体系化等の取組みを実施。
○ これらの取組みの具体的成果については平成19年度(2007年度)評価の中で検証予定。
4. 情報セキュリティ政策の評価等(2006年度) (P15)
○ 次期年度計画の検討に有益な情報を出来るだけ多く検討する方法で評価等を実施。
○ 情報セキュリティ政策全体としては、予定された取組みが総じて概ね順調に行われ、対策推進のための体制 構築が進んだほか、各対策実施領域が情報セキュリティの取組みの必要性に気付いた。
○ 他方、リスクは大幅に軽減しておらず、変化を捉えて大 きく増加しないように努力している状況。
○ 引き続き、情報セキュリティ政策への積極的な取組みが期待される。
1.政府中核機能の整備
1.政府中核機能の整備
内閣官房における情報セキュリティ政策の流れ
内閣官房における情報セキュリティ政策の流れ((
2000 2000
年以降の概要)年以降の概要)枠組み・道具仕込み
組織・体制仕込み
省庁HP
連続改ざん 米国 同時多発
テロ
Blaster
ワーム 猛威
1999年1999年 2000年2000年 2001年2001年 2002年2002年 2003年2003年 2004年2004年 20052005年年 20062006年年 20072007年年 2003.08
2003.08
各省試行錯誤
の時代 内閣官房による対策実行第一期 第二期への 助走期
対策実施
第二期セキュリティポリシー ガイドライン
重要インフラ サイバーテロ 特別行動計画
内閣官房
情報セキュリティ対策推進室
② 内閣官房情報セキュリティセンター
③ 情報セキュリティ政策会議
政府機関の情報セキュリティ 対策のための統一基準
重要インフラの 情報セキュリティ対策に係る
行動計画 第一次
情報セキュリティ基本計画
対策推進の 枠組み ・道具 組織 体制
2005.05 2005.05 2006.02 2006.02
2005.12 2005.122005.12 2005.12
2005.04 2005.04
2000.02 2000.02
2000.01 2000.01
一ヶ月で組織立ち上げ
2000.07 2000.07
2000.12 2000.12
2001.09 2001.09
2004.04 2004.04
①情報セキュリティ①情報セキュリティ 補佐官補佐官の設置の設置
Copyright (c) 2008 National Information Security Center (NISC). All Rights Reserved. 4
政府機関(各省庁)
政府機関(各省庁) 重要インフラ重要インフラ 企業企業 個人個人
①情報セキュリティ政策に関する基本戦略の立案
①情報セキュリティ政策に関する基本戦略の立案
②政府機関の総合対策促進
②政府機関の総合対策促進
③政府機関の事案対処支援
③政府機関の事案対処支援
④重要インフラの情報セキュリティ対策
④重要インフラの情報セキュリティ対策
内閣官房情報セキュリティセンター(
内閣官房情報セキュリティセンター(NISC)NISC)
◆諸外国との情報交換・連携の 一元化
◆国際的な信頼醸成
¾「情報セキュリティ問題に取り組む政府の役割・機能の見直しに向けて」(2004年12月7日IT戦略本部決定)を 受け、情報セキュリティ問題に関する政府中核機能の強化に向けて機能・体制等を整備中
¾
¾20052005年年4月4月25日、内閣官房情報セキュリティセンター(25日、内閣官房情報セキュリティセンター(NISC:NISC:National Information Security Center)を設置National Information Security Center)を設置
¾2005¾2005年年5月5月30日、30日、IT戦略本部の下に「情報セキュリティ政策会議」を設置IT戦略本部の下に「情報セキュリティ政策会議」を設置
重要インフラ所管省庁
国土交通省
金融庁 経済産業省
総務省
情報セキュリティ関係省庁
総務省
警察庁 経済産業省 防衛省
情報セキュリティ政策会議 情報セキュリティ政策会議
IT戦略本部
官民から専門家を集約 官民から専門家を集約
(
(2007年2007年12月現在12月現在65名65名))
情報セキュリティ基本戦略 情報セキュリティ基本戦略 等、根幹となる事項を決定 等、根幹となる事項を決定
厚生労働省
情報セキュリティ政策会議及び 情報セキュリティ政策会議及び
内閣官房情報セキュリティセンター(
内閣官房情報セキュリティセンター(NISC NISC)の設置 )の設置
議長
内閣官房長官 議長代理
内閣府特命担当大臣(科学技術政策)
構成員
国家公安委員会委員長 総務大臣
経済産業大臣 防衛大臣
江畑 謙介 拓殖大学客員教授/軍事評論家 小野寺 正 KDDI株式会社代表取締役社長 黒川 博昭 富士通株式会社代表取締役社長
野原 佐和子 株式会社イプシ・マーケティング研究所代表取締役社長 前田 雅英 首都大学東京教授
村井 純 慶應義塾大学教授
このほかの国務大臣も必要に応じ会議に出席し意見を述べることができる
情報セキュリティ政策会議の構成
情報セキュリティ政策会議の構成
Copyright (c) 2008 National Information Security Center (NISC). All Rights Reserved. 6
内閣官房情報セキュリティセンター(
内閣官房情報セキュリティセンター(NISC NISC)の機能・体制 )の機能・体制
副センター長(内閣審議官)
副センター長(内閣審議官)
基本戦略立案
基本戦略立案
政府機関総合対策促進
政府機関総合対策促進
事案対処支援
事案対処支援
副センター長(内閣審議官)
副センター長(内閣審議官)
重要インフラ対策
重要インフラ対策
情報セキュリティ 補佐官(2名)
情報セキュリティ 補佐官(2名)
重要インフラ 重要インフラ 各政府組織 各政府組織 企業企業 個人個人
国際戦略
国際戦略諸外国関係機関 諸外国関係機関
(安全保障・危機管理担当副長官補)
セン タ ー 長
(安全保障・危機管理担当副長官補)
セン タ ー 長
z全体戦略(「情報セキュリティ基本計画」)策定 z研究開発・技術開発戦略の立案 等
z政府統一的な「対策基準」の策定
z政府統一的な情報セキュリティ対策の「評価」 等
z早期警戒情報の収集・分析機能の強化 z情報セキュリティ関係機関との連携強化 等
z相互依存性の分析
z横断的な対策基準の策定 z総合的演習の実施 等
z情報セキュリティに関する我が国の国際戦略の立案 z諸外国の関係機関等との緊密な連携 等
内閣官房における情報セキュリティ政策の流
内閣官房における情報セキュリティ政策の流れれ(センター設置以降の詳細)(センター設置以降の詳細)
その他 重要イン フラ対策 政府機 関対策 全体戦 略体制 構築
1~3月 10~12月
7~9月 4~6月
1~3月 10~12月
7~9月 4~6月
1~3月 10~12月
7~9月 4~6月
2007(平成19)年度 2006(平成18)年度
2005(平成17)年度
NISC 設置
第1次 基本計画
決定
対策強化 基本方針
決定
政府機関 統一基準
決定
重要インフラ 行動計画
決定
安全基準 指針 決定
安倍官房長官(当時)
による注意喚起
(Winnyによる情報流出関係)
「SJ2006」 決定(06年 度実施計画)
第1回 重点検査 結果報告
NISC 60人 体制
GSOCが H19年度 予算案に
横断的 演習 の実施
「情報セキュ リティの日」
の決定
情報セキュリティの日 功労者表彰 各種啓発行事 安全基準
指針 改定 政府機関 統一基準
改訂
「SJ2007」 決定(07年 度実施計画)
情報セキュリティ 政策会議
設置
第2回 情報セキュリ
ティの日
日銀に 対する DDoS 攻撃
Vista 正式 発売 台湾沖地 震による通
信の途絶
イージス艦 に関する 情報漏洩
住民基本 台帳関連 情報漏洩
警視庁に おける情 報漏洩
機能 演習 の実施
GSOC の初期 整備
2 2 「 「 第1次情報セキュリティ基本計画 第1次情報セキュリティ基本計画 」の策定 」の策定
「第1次情報セキュリティ基本計画」策定時の経緯
情報セキュリティ 情報セキュリティ 基本問題委員会 基本問題委員会
第2次提言 第2次提言
((2005.4.222005.4.22))
政府組織 重要インフラ 企業 個人
情報セキュリティに関する研究開発・技術開発の戦略的な推進
技術戦略 技術戦略 専門委員会報告書 専門委員会報告書
情報セキュリティに係 る研究開発・技術開発、
その成果利用の戦略
重要インフラ専門委員会 重要インフラ専門委員会
行動計画及び指針 行動計画及び指針
重要インフラの情報セキュリティ 対策に係る具体的施策
セキュリティ文化 セキュリティ文化 専門委員会報告書 専門委員会報告書
セキュリティ文化の醸 成に関する方策
((2005.11.172005.11.17))
((2005.11.172005.11.17))
「第1次情報セキュリティ基本計画」
(2006.2.2 情報セキュリティ政策会議決定)
情報セキュリティ問題を俯瞰した中長期の戦略
(
(2005.12.13 2005.12.13 行動計画)行動計画)
((2006.2.2 2006.2.2 安全基準等策定指針)安全基準等策定指針)
情報セキュリティ 情報セキュリティ 基本問題委員会 基本問題委員会
第1次提言 第1次提言
((2004.11.162004.11.16))
情報セキュリティ政策会議の 設置
内閣官房情報セキュリティセ ンター(NISC)の設置
重要インフラ分野における 情報セキュリティ対策の強 化の必要性について提言
Copyright (c) 2008 National Information Security Center (NISC). All Rights Reserved. 10
「第 「 第1 1次情報セキュリティ基本計画 次情報セキュリティ基本計画」の全体像 」の全体像
-セキュア・ジャパンの実現に向けて-
-セキュア・ジャパンの実現に向けて-
○ 情報セキュリティ問題全般に関する中長期計画中長期計画(「全体工程表」)(「全体工程表」)として、
1)我が国が情報セキュリティ問題に取り組む際の基本理念基本理念と、2)重点政策の方向性重点政策の方向性を提示
○ 2006年度から2008年度までの32006年度から2008年度までの3か年計画か年計画として策定。2006年度から、本計画に基づいた年度ごとの 推進計画を策定
基本理念基本理念
1 経済国家日本の基盤としての情報 セキュリティ
2 安全・安心を求める、より良い国民 生活実現のための情報セキュリティ 3 新たな安全保障確保の観点からの情報
セキュリティ
◆ 我が国の経済基盤(商取引)の1/4はITに依存
◆ 8000万人のインターネットユーザを抱える世界最大の ブロードバンド大国
◆ 災害対策等安全・安心に対する国民ニーズの高まり
◆ ITに起因する新しい安全保障への脅威と、我が国の
「強み」の再認識
<捉えるべき視点>
「情報セキュリティ先進国」への進展
【政府機関】:すべての政府機関が「政府機関統一基準」が求める水準の対策を実施 【重要インフラ】:IT障害の発生を限りなくゼロに。
【企業】:情報セキュリティ対策の実施状況を世界トップクラスの水準に 【個人】:「IT利用に不安を感じる」とする個人を限りなくゼロに
目指すべき姿 目指すべき姿 今後3年間の取組み 今後3年間の取組み
官民の各主体が適切な役割分担を果たす「新しい官民連携モデル」「新しい官民連携モデル」の構築
~ 内閣官房情報セキュリティセンター(NISC)を中心に、全主体が参加して実行 ~
3年間(2006年度~2008年度)のマイルストーン全体像
政府機関の対策 重要インフラ対策
企業・個人、横断的な情報セキュリティ基盤形成 全体計画による持続的改善への取組み
◆最適化計画との連携を明確化
◆全ての政府システムへの対策を徹底
◆対策全面実施を踏まえた統一基準の 改良
◆電子政府共通基盤システム実装の ための先進的機能の導入着手
◆政府システム総合的・横断的評価の実施
◆統一基準の求める対策水準の完全達成
(世界最高水準の電子政府にふさわしい 情報セキュリティ対策水準の実現)
◆年度計画の策定
◆評価指標の確立 ◆年度計画の実施状況評価と見直し ◆「情報セキュリティ先進国」へ
(第2次基本計画の検討)
◆企業・個人の情報セキュリティ 対策の充実
◆技術戦略の持続的な取組み
◆「安全基準等」の策定・見直し
◆情報共有・分析機能整備への取組み
◆分野横断的演習(研究・机上)の実施
◆情報共有体制の本格的稼働
◆重要インフラ連絡協議会設立
◆分野横断的演習(機能)の実施
◆真に依存可能な重要インフラへ
(行動計画更新)
○「全体工程表」(基本計画)「全体工程表」(基本計画)と「個別詳細設計図」「個別詳細設計図」を組み合わせ、毎年度のマイルストーンを明確にしながら、
「情報セキュリティ先進国」への進展
「情報セキュリティ先進国」への進展を目指す
全体計画
政府機関
重要インフラ
企業・個人 横断基盤
Copyright (c) 2008 National Information Security Center (NISC). All Rights Reserved. 12
「第1次情報セキュリティ基本計画」を実現する個別設計図
「第 1 次情報セキュリティ基本計画」
2006~2008年度の3ヵ年計画。「第 1 次情報セキュリティ基本計画」
2006~202006~2008年度の3ヵ年計画08年度の3ヵ年計画。年度計画:セキュア・ジャパン 年度計画:セキュア・ジャパン
2006年度
2006年度 2009年度
2005年度 2007年度2007年度 2008年度2008年度
セキュア・ジャパン 2008 セキュア・ジャパン 2008
政府政府機関機関・地方公共団体・地方公共団体 重要インフラ重要インフラ 企企 業業 個個 人人
情報セキュリティ技術戦略の推進 情報セキュリティ人材の育成確保
犯罪の取締り、権利利益の保護救済
すべての政府機関が
「政府機関統一基準」が 求める水準に
IT障害を限りなくゼロに 対策の実施状況を 世界トップクラスの水準に
重要政策横断的な
「IT利用に不安を感じる」
個人を限りなくゼロに
目 標
個別設計図 重要インフラ
行動計画 内閣官房・各省庁による施策
内閣官房・各省庁 による施策 政府機関
統一基準
技術戦略専門委員会報告書 人材育成・資格制度体系化専門委員会報告書
国際連携・協調の推進
我が国の情報セキュリティ分野における
国際協調・貢献に向けた取組み 内閣官房・各省庁による施策
「セキュア・ジャパン2006」
「セキュア・ジャパン2006」 「セキュア・ジャパン2007」「セキュア・ジャパン2007」
評価2006 評価2007
3 基本計画策定後の取り組み
Copyright (c) 2008 National Information Security Center (NISC). All Rights Reserved. 14
「第1次情報セキュリティ基本計画」策定後の取組み
◆ 「政府機関統一基準」の 策定及び見直し(H17.12.13 策定、H19.6.14改訂)
○重点検査及び評価結果公 表(H18.7.25,H19.8.3)
○セキュリティマネジメントに 関する評価結果公表
(H19.8.3)
◆ サイバー攻撃等への緊急 対応能力の強化(GSOCの 構築)(H19FY以降)
◆ 重要インフラ行動計画策定
(H17.12.13)
○ 安全基準等策定指針改定
(H19.6.14)
○ 情報共有・分析機能の整備
○ 重要インフラ連絡協議会(仮 称)の検討の場設置
(H19.3.29)
○ 分野横断的な演習(H19.2.7)、 相互依存性解析の実施
◆ 情報セキュリティ監査等第 三者評価制度の活用推進
◆ コンピュータウィルス等へ の対応体制の強化
政府機関政府機関・地方公共団体・地方公共団体 重要インフラ重要インフラ 企業企業 個人個人
◆ 「情報セキュリティの日」の 創設等広報啓発の強化
(H19.2.2)
◆ 情報セキュリティ教育の推 進
◆ 技術戦略専門委員会報告書(H17.11.17、H19.6.29)
◆ 高セキュリティ機能を実現する次世代OS環境の 開発(H18FY以降)
主な取組み
( 4 領 域 )
情報セキュリティ技術戦略の推進 情報セキュリティ人材の育成確保
◆ 情報セキュリティ分野における「国際協調・貢献」
の策定(H19.10.3)
◆ サイバーセキュリティ日米会合の開催(H19.8)
国際連携・協調の推進
◆ サイバー犯罪の取締りのための技能水準の向上
◆ デジタルフォレンジックに係る知見の集約・体系化の 推進
犯罪の取締り、権利利益の保護救済
◆ 情報セキュリティの資格制度を体系化(H19.1.23)
(人材育成・資格制度体系化専門委員会報告書)
○ 全主体が適切な役割分担を果たす「新しい官民連携モデル」の構築に向けて「新しい官民連携モデル」の構築に向けて、2006年度からの 3年間、政府は「第1次情報セキュリティ基本計画」に基づき、各種対策を強化
主な取組み
( 横 断 的 事 項 )
4 情報セキュリティ政策の評価等
(2006年度)
Copyright (c) 2008 National Information Security Center (NISC). All Rights Reserved. 16
評価等に関する検討の枠組
横 断 的 基 盤 対 策 実 施 領 域
犯罪対策 国際連携
人材育成 技術戦略
個人 企業
重要インフラ 政府機関
総 評 SJ06の取組み
の進捗
周辺情勢
(インシデント・事件、
市場等)
物的側面
(投資、技術、
ハード、ソフト、
NW)
人的側面
(人、意識、体 制、制度)
社 会 情 勢
総 評 政 策 領 域
社会情勢等に 関する評価等
各 政 策 領 域 ご と の 評 価 等
政策全体の評価等
(※検討の主眼は情報セキュリティ政策が社会に与えた変化や情報セキュリティに関連のある事象を 網羅的に把握することではなく、SJ2007の検討に有益な情報をできるだけ多く検討すること)
評価2006における評価・分析のポイント①
(対策実施4領域)
○○情報セキュリティ政策全体情報セキュリティ政策全体
・予定された取組みは総じて概ね順調に行われ、対策推進のための体制構築が進んだ。各対策実施領域が情報セキュリティ の取組み の必要性に気付いた一年でもあった。
・他方、政策領域によっては、人的資源不足などで対策のスピード感に欠けるのも事実。リスクは大幅に軽減ではなく、変化を 捉えて大 きく増加しないように努力している状況。施策の目標自体が第一歩目に過ぎない施策も存在。
・対策を推進するために2007年度も積極的な取組みが期待される。
○
○政府機関政府機関
・重点検査に基づく評価等によって各府省庁は対策の改善の必要性に気づき、対策のPDCAサイクルも概ね確立されたと考 えられる。 セキュリティ管理体制の形は出来つつあるが、取組みを推進する人員が不足と考えられる。
・電子政府の推進においても情報セキュリティの観点が不可欠の状況。
○○重要インフラ重要インフラ
・行動計画に基づき、予定の取組みを行うべく十分努力。ただし、状況がどのように改善したかという点は、初年度段階でも あり客観情 報により判断するには至らず。
・いずれにせよ、IT障害を発生させる要因は常に変化し続けることから、継続的取組みが必要。
○○企業企業
・セキュリティのための体制整備や事業継続計画(BCP)の策定など、取組みを着実に強化・実施。また、情報流出のような 問題が大きな損失をもたらすとの認識も高まり、企業総体としては対策が進展していると考えられる。
・ただし、全ての企業で意識が徹底というわけではなく、先進企業とそうでない企業など企業間での格差が存在していると考 えられる。
○○個人個人
・情報セキュリティ教育や広報啓発の強化、好調なウイルス対策ソフトの売行きを考慮すると、意識が高まりつつあると考え られる
・対策を講じていない個人も無視できない割合で存在し、個人を標的とする新しいリスクも発生している。
Copyright (c) 2008 National Information Security Center (NISC). All Rights Reserved. 18
評価2006における評価・分析のポイント②
(横断的な情報セキュリティ基盤)
○○情報セキュリティ技術戦略の推進情報セキュリティ技術戦略の推進
・日本発のセキュリティ製品は依然少なく、研究開発などに対する公的研究資金の重点的な投入や研究投資の効率化などに よる底上げ効果が期待される。
・産学官連携による次世代OS環境の開発への期待も大きい。
○○情報セキュリティ人材の育成・確保情報セキュリティ人材の育成・確保
・セキュリティ人材の育成に向けて官民における取組みが展開されつつある。
・しかし、依然、緒についたばかりで人材及びスキルの不足感は否めず。
○○国際連携・協調の推進国際連携・協調の推進
・国際会合等における取組み紹介やウェブサイトによる広報活動を通じ、日本の取組みの認知度は向上。
・しかし、取組みは第一歩目を踏み出したに過ぎず。多国間の枠組みでのリスクの低減・解消や我が国の知見の提供など、
取組みの余 地が有る。
○○犯罪の取締り及び権利利益保護・救済犯罪の取締り及び権利利益保護・救済
・一定の取組みがなされたと評価できる。
・しかし、サイバー空間での犯罪や不正行為が発生しており、対策の強化が喫緊の課題である。
評価2006における評価・分析のポイント③
(社会情勢、SJ2006に基づく施策の取組み)
○○社会情勢社会情勢 [人的側面(人材、意識、体制・制度)][人的側面(人材、意識、体制・制度)]
・人材面では、育成・確保が依然不十分。
・意識面では、情報セキュリティに係る「意識の発露」が見られたが、対策が「当然のこと」として捉えられるには至っていない。
・体制面では、企業が対応体制強化の傾向が見られ、政府も内閣官房を中心として対策推進体制が徐々に整いつつある。
○○社会情勢社会情勢 [物的側面(投資、技術、ハード、ソフト、ネットワーク)][物的側面(投資、技術、ハード、ソフト、ネットワーク)]
・投資面は、政府機関ではネットワークに対する攻撃等に関する情報収集・分析・情報共有に関するシステム構築予算確保。
企業や個人意識の「発露」に伴って、対策のために投資せざるを得ない分の投資は行うという姿勢になりつつある。
・技術面は、インシデント・事件の発生などを受け、具体的な対策の必要性に迫られた製品を中心に開発を行う傾向。
○○社会情勢社会情勢 [周辺情勢(インシデント・事件、市場等)][周辺情勢(インシデント・事件、市場等)]
・インターネット上で個人からの情報発信を伴う新たなサービスなどが複数現れたのに伴い、新しい形の被害が見られるよう になった。
・特別仕様のウイルス付きメールの送付によって、コンピュータに不正なプログラムを潜伏させようとする攻撃へと変化が見ら れた。
・リスクを抑制する努力が進められる一方、攻撃手段も次々と進化。
○○SJ2006に基づく施策の取組み結果SJ2006に基づく施策の取組み結果
・133の具体的施策について、順調に着手され、9割弱の施策について2006年の年度内に推進。残りの施策は慎重に検 討を進められた結果として年度内に推進できなかったものが多く、今後の取組みの継続で、概ね達成できると考えられる。
・施策推進のための体制や人員などについて不十分な側面もあった。
