資料5-4
総務省におけるセキュリティ対策の現状と課題
平成 20 年8月6日 総 務 省
○総務省におけるセキュリティ対策の現状 体制等(参考1)
-セキュリティ対策と最適化等の体制は官房長をトップとしパラレル -CIO補佐官4名のうち1名をセキュリティ対策担当
情報セキュリティ対策の推進(参考2)
-「総務省電子政府推進計画」(平成 20 年3月決定)に基づき、情報システムの
最適化や情報セキュリティ対策を一体的に推進
○情報セキュリティ対策の実施に当たり具体的に苦労している点
・ドキュメント類の難解さの軽減(ポリシー、研修・教育、自己点検等)
情報セキュリティ対策に関連するドキュメントはその性格上難しいものが多く、
省内への各種の展開に当たっては、極力分かりやすいものとなるよう努めているが、
たとえば基本遵守事項等については、省のポリシーに必ず取り入れる必要があるこ となど、結果として難解さを残さざるを得ない場合がある。
・機密性等の定義・分類、持ち出し等
機密性等の定義・分類については、必ずしも基準が明確でなく、また習慣もない ことから運用に苦労している。特に、各課内の文書について予め機密性を整理して おく点、機密性文書の持ち出しに当たっての上司への届け出については、その運 用・定着に苦労している。
・各システムのセキュリティ対策の水準
総務省においては、予算要求、調達、リプレース時期において情報システムのセ キュリティー面からの検証を実施しているが、そのレベルについては、統一基準に も必ずしも定量的には定められておらず、補佐官の経験に頼らざるを得ない。
・他各府省の情報セキュリティ対策の具体的取り組み
省内での対策の検討等に当たり、各府省での具体的な取り組みを知りたいと思っ ても直接個別に聞くしかないのが現状。
情報セキュリティに係る組織・体制
情報セキュリティに係る組織・体制 業務・システムの最適化に係る組織・体制業務・システムの最適化に係る組織・体制
総務省の情報セキュリティ対策の組織・体制図
大臣官房長
(最高情報セキュリティ責任者)
大臣官房企画課長
(統括情報セキュリティ責任者)
情報セキュリティ責任者 情報セキュリティ責任者
総務省CIO補佐官(1名)
(最高情報セキュリティアドバイザー)
大臣官房企画課 情報システム室長
(情報セキュリティ監査責任者)
情報システム セキュリティ責任
者 情報システム セキュリティ管理
者 情報システム
情報システム セキュリティ責任
者 情報システム セキュリティ管理
者 情報システム
情報システム セキュリティ責任
者 情報システム セキュリティ管理
者 情報システム
情報システム セキュリティ責任
者 情報システム セキュリティ管理
者 情報システム
情報システム セキュリティ責任
者 情報システム セキュリティ管理
者 情報システム
情報システム セキュリティ責任
者 情報システム セキュリティ管理
者 情報システム
課室
課室情報 セキュリティ責任
者 課室
課室情報 セキュリティ責任
者 課室
課室情報 セキュリティ責任
者
政府全体管理組織
(電子政府評価委員会、CIO連絡会議、CIO補佐官等連絡会議等)
大臣官房企画課情報システム室
(総務省全体管理組織(PMO))
大臣官房長
(CIO)
大臣官房企画課長
(電子政府推進担当課長)
担当課長
総務省CIO補佐官(4名)
担当課長
個別管理組織A 個別管理組織B
△△業務・システム 最適化
□□業務・システム 最適化 大臣官房企画課
情報システム室長 大臣官房秘書課長
(人事担当課長)
大臣官房会計課長
(会計担当課長)
大臣官房 政策評価広報課長
(広報担当課長)
大臣官房企画課情報システム室
内閣官房情報セキュリティセンター(NISC)
大臣官房 政策評価広報課長
(広報担当課長)
大臣官房会計課長
(会計担当課長)
大臣官房秘書課長
(人事担当課長)
総務省行政情報化 推進委員会
総務省行政情報化 推進委員会
参考 1
電子政府推進計画(平成18~22年)
→ 情報資産台帳を整備する
政府機関の情報セキュリティ対策のための統一基準
→ 情報システムの台帳を整備
→ 政府機関のドメインと保証されたドメインの利用を規定
重点計画- 2007
総務省電子政府推進計画について
IT戦略本部
CIO連絡会議
セキュリティ政策会議
行政機関における IT 人材の育成・確保指針
→ IT人材育成・確保計画の策定
電子政府システムのIPv6 対応に向けたガイドライン
→ IPv6導入計画の策定
業務・システム最適化指針(ガイドライン)
→ 最適化計画の策定、計画の進捗管理
総務省行政情報化推進委員会
総務省電子政府推進計画(平成20~22年)
総務省電子政府推進計画(平成20~22年) 総務省情報セキュリティポリシー 情報システムに係る政府調達の基本指針
→ 調達計画書の作成、分離調達の実施
政府機関の情報システムにおいて使用 されている暗号アルゴリズムSHA-1及び RSA1024に係る移行指針
→ 電子申請等手続に利用するシステム の暗号アルゴリズム移行
総務省における情報システムの最適化、セキュリティ対策等を「総務省電子政府推進計 画」としてとりまとめ(平成
20年3月)
テレワーク人口倍増アク ションプラン
→ 2割の職員がテレワーク
テレワーク推進に関す る関係省庁連絡会議
参考 2
本計画策定の主な目的
• ICT 政策(内閣官房 IT 担当室)、情報セキュリティ政策(内閣官房セ キュリティセンター)に関する施策の省としての一体的な推進
• 総務省内の各種情報システムについて、予算要求・調達・整備・運用 の各プロセスを適切に実施するためのプロセスの明文化、支援体制
(支援システムの導入、 CIO 補佐官の活用等)を確立
• 電子政府推進計画や情報セキュリティ対策統一指針に基づく、各種計 画について省としてパッケージ化して策定し、相互に関連する計画等に ついて一体的に推進
• ICT 政策や情報セキュリティ対策の中核を担う省として、セキュリティ
対策、テレワークの推進、行政文書の電子化等について、現時点の技
術動向等を反映した先進的な取組を推進
計画の主な実施内容 (平成20年度実施予定のもの含む)
2 総務省における情報セキュリティ対策の推進
※ 「○」は情報セキュリティに関連する項目 1 総務省の各種情報システムの最適化・合理化
○ 情報システム資産台帳の整備
総務省が保有する情報システムの調達、リプレース時期等を把握
○ 予算要求・調達時にCIO補佐官が仕様や積算の妥当性をチェック
原則省内の全情報システムについて、予算要求や上記により把握された調達に当たり、仕様や積算の妥当性を検証 その際、情報システムのセキュリティー面からの妥当性も併せて検証
● 大規模システムについては、「業務・システム最適化計画管理システム」を利用し、「最適化指針」に基づ く各種報告書作成を省力化
○ 運用管理規定の整備
○ 情報セキュリティー監査の実施
○ インターネットの利用の制限
○ 総務省セキュリティーポリシーに関する教育、自己点検の実施
各職員が省内のwebシステムを通じ、ポリシーに関する教育を受講、自己点検を実施
○ ポリシーに基づく機密性の明記
要機密情報のファイル名称に機密性を付与し、各課室ごとに様式にまとめるよう文書整理方針を策定
○ 私物パソコンや外部記憶装置の登録
業務上、データの授受に私物のパソコンや外部記憶装置を利用する際、チェックリストでセキュリティを確認し登録
○ 端末への遵守事項シールの貼付
情報セキュリティ対策の遵守事項シールを作成し、各職員の端末に貼付
3 総務省におけるICT人材の育成・確保
○ 研修の充実
情報セキュリティなどについて、CIO補佐官が職員に講義を行う「情報システム研修会」を毎月開催 研修のテキスト、講義内容(音声)について省内のイントラネットに蓄積・提供
○ 人事交流の推進
○ 外部人材の活用
4 インターネットを利用する情報システムの合理化等
○ 政府ドメインの利用
政府機関を詐称した成りすましサイト等と判別しやすくするよう、soumu.go.jpドメインに統一
○ 暗号アルゴリズムの移行計画策定
新たな暗号方式への切り替え計画の策定
○ IPv6への対応計画の策定
● ウェブ・サイトの統合・合理化
5 情報システムを活用した業務の高度化の推進
○ 電子文書の整理
要機密情報のファイル名称に機密性を付与し、各課室ごとに様式にまとめるよう文書整理方針を策定(再掲)
● 電子決裁の推進
● テレワークの推進
