資料2-5-12-5-1

(1)

情報セキュリティ政策の評価等のあり方について

資料

2-5-1

２０１０年５月１１日

内閣官房情報セキュリティセンター（ＮＩＳＣ）

(2)

2

第２次情報セキュリティ基本計画下での持続的改善構造の維持・推進第１次情報セキュリティ基本計画－持続的改善構造の構築－

第２次情報セキュリティ基本計画－持続的改善構造の維持・推進－

情報セキュリティ対策に係る評価指標に基づく評価や補完調査、分析等を踏まえた持続的な改善等の実施 2009年までのＰＤＣＡサイクルによる個別の取組みの改善と、政策全体の見直し

評価等の実施

単年度サイクル

基本サイクル（３か年）『第２次情報セキュリティ基本計画』への反映

『200X年度の情報セキュリティ政策の評価等』の報告

『セキュア・ジャパン200X』への反映

引き続き評価指標に基づく評価や補完調査、分析等を踏まえた持続的な改善等の実施 PDCA－基本サイクル（３か年）、単年度サイクル構造の維持

第２次基本計画に示された“あるべき姿”（2012年の姿）への到達度を測るという観点からの評価・改善のあり方の見直し

見直し情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方 PDCAサイクルによる持続的改善の実施

点検段階の評価等の基本的枠組

点検段階の評価等のあり方と評価指標（改善）

持続的改善のあり方

枠組み文書「セキュア・ジャパン」の実現に向けた取組みの評価等及び合理性を持った持続的改善の推進について（2007年２月２日政策会議決定）

(3)

第２次情報セキュリティ基本計画下での評価等のあり方

基本的な考え方

従来の枠組みに基づく評価等の継続実施

第２次基本計画の“あるべき姿（2012年の姿）へ向けた持続的改善の実施

政府機関「情報セキュリティ報告書」に係る評価等へプロセスを一本化する方向で検討

※地方公共団体に関しては、重要インフラの一分野として様々な取組みを進めており、評価指標についても重要インフラの一部としてみることとする。

情報セキュリティ報告書専門委員会で報告書作成のためのガイドライン、報告書に係る定量的評価手法を調査・検討中（2010年度の試行を経て、2011年度本格実施予定）

重要インフラ今回から客観的事実を指標として、事業者等が講ずる対策、政府機関による重要インフラ施策を検証

重要インフラ事業者等の対策の検証政府機関等による施策の検証

第２次行動計画の目標に照らし、取り組みの妥当性を評価

第２次行動計画を基にした取組みが効果的に機能しているかを対策、施策の検証、補完調査（IT障害等の事例等）を基に把握

企業・個人 “あるべき姿”（2012年の姿）への到達度を測る上でふさわしい指標の設定、改善

（可能なものは中小企業等、個人属性別の傾向把握）

意識面対策面

インシデント・犯罪の発生状況

…等

(4)

4

参考資料

(5)

これまでの情報セキュリティ政策の評価等のあり方

第１次情報セキュリティ基本計画（2006年２月２日政策会議決定）

情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方

情報セキュリティ対策に係る評価指標に基づく評価や補完調査、分析等を踏まえた持続的な改善等の実施

評価等の作業方針の策定

評価指標に基づくデータの把握及び評価の実施

補完調査の実施分析

政策会議への報告持続的な改善

次期計画、年度計画などへの反映（SJ、基本計画）

2009年までのPDCAサイクルによる個別の取組みの改善と、政策全体の見直し

PDCAの必要性と基本計画の下でのPDCA 基本計画策定時のリスクの認識（2006年）

基本計画終了時のあるべき姿（2009年）

評価等の基本的枠組み

各分野の評価指標（我が国全体、対策実施４領域、横断的基盤）

評価等の実施

単年度サイクル

基本サイクル（３か年）『第２次情報セキュリティ基本計画』への反映

『200X年度の情報セキュリティ政策の評価等』の報告

『セキュア・ジャパン200X』への反映

年度計画の策定と評価等の実施緊急事態対応に向けた取組み評価指標の確立基本計画の見直し情報セキュリティを巡る問題

新たなリスク要因の発生

想定しない事故、災害、攻撃の発生 IT利活用のあり方の変化

持続的改善構造の構築

情報セキュリティ政策の評価等の『枠組み文書』にのっとった持続的改善構造の構築

(6)

6

第２次情報セキュリティ基本計画の下での評価等のあり方第２次情報セキュリティ基本計画（2009年２月３日政策会議決定）

評価指標の改善

『各対策実施領域等における、情報セキュリティに関する評価の指標は、情報セキュリティ政策の枠組み文書によって設定されているところ、

政府は、同枠組み文書に定めた方法により、今後も引き続き評価指標の改善を図る』

【注】なお、重要インフラの領域については第２次行動計画において先行的に評価指標の改善を行っているため、同枠組み文書における評価指標の改善に際しては、第２次行動計画における評価指標を基本として検討することとする。

「年度計画」の策定と評価等

『政府は、…プログラムを「年度計画（セキュア・ジャパン20XX）として策定するとともに、その実施状況を社会情勢の変化とともに評価し、結果を公表する。また、補完調査を必要に応じて実施し、この結果も併せて、「20XX年度の情報セキュリティ政策の評価等」として公表する。

この取組みに当たっては、詳細を情報セキュリティ政策の評価等の枠組み文書によって定められた枠組みにもっとることとする。』

第２次基本計画の記述

同文書に基づき、引き続き評価指標に基づく評価や補完調査、これらを踏まえた持続的な改善等を実施

基本サイクル（３か年）、単年度サイクルの持続的改善構造の維持

第２次基本計画に示された“あるべき姿”（2012年の姿）への到達度を測るという観点からの評価・改善のあり方、記述の見直し

PDCAサイクルによる持続的改善の実施

「第２次基本計画」へ

点検段階（C）の評価等の基本的枠組

点検段階の評価等のあり方と評価指標（改善）

持続的改善（A）のあり方 PDCAの必要性と基本計画の下でのPDCA

基本計画策定時のリスクの認識（2006年）

基本計画終了時のあるべき姿（2009年）

評価等の基本的枠組み各分野の評価指標

（我が国全体、対策実施４領域、横断的基盤）

見直し情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方

情報セキュリティ政策の評価等の『枠組み文書』にのっとった持続的改善構造の維持・推進

(7)

・３か年での計画目標の達成

・年度計画『セキュア・ジャパン』

－単年度のPDCAサイクル－

・３か年での計画目標の達成

・年度計画『セキュア・ジャパン』

－単年度のPDCAサイクル－

計画（PLAN）

実施（DO）

点検（CHECK）

改善処置（ACT）

基本サイクル（３年）

計画（PLAN）

・IT安心利用環境の構築

“あるべき姿”（2012年の姿）を目指す

・第２次基本計画の策定

・IT安心利用環境の構築

“あるべき姿”（2012年の姿）を目指す

・第２次基本計画の策定

・“あるべき姿”への到達度を測る

・評価指標、補完調査、

取り巻く環境、リスクの把握

・“あるべき姿”への到達度を測る

・評価指標、補完調査、

取り巻く環境、リスクの把握

・次期基本計画の策定

・評価指標等を用いた持続的改善

・次期基本計画の策定

・評価指標等を用いた持続的改善

単年度サイクル（１年）

計画（PLAN）

実施（DO）

点検（CHECK）

計画（PLAN）

実施（DO）

点検（CHECK）

・年度計画「セキュア・ジャパン20XX」

の策定

・年度計画「セキュア・ジャパン20XX」

の策定

・「セキュア・ジャパン20XX」に基づく各省庁施策の実施

・作業方針の策定

・評価等の実施（政策会議報告）

・作業方針の策定

・評価等の実施（政策会議報告）

・翌年度「セキュア・ジャパン20XX」

の策定

・翌年度「セキュア・ジャパン20XX」

の策定

第２次基本計画の目標、“あるべき姿”（2012年の姿）への到達度を測る視点で評価等を実施年度計画「セキュア・ジャパン20XX」、次期基本計画への反映による持続的改善構造の維持

ＰＤＣＡサイクルによる持続的改善の実施

(8)

8

評価等に関する基本的枠組み

【データ】

【評価結果及び分析結果】

作業方針の策定評価評価等の公表改善に向けた取組み年度計画等への反映

内閣官房情報セキュリティセンター（各府省庁が協力）政策会議等

年度計画

次期基本計画 NISC

（必各府省庁

要に応じて

）分

析 ^{【調査結果及び}_{分析結果】}

データの把握

評価指標に基づく

成果（アウトプット評価指標）

取組みの成果がどの程度出ているか結果（アウトカム評価指標）

取組みの結果として、社会がどうなったか

補完調査

評価指標に基づく評価が困難な事項の状況把握

評価指標の項目・関係府省庁補完調査の項目・関係府省庁分析課題・分析方法

スケジュール

具体的取組みと把握データの因果関係・

相関関係が明らかでない場合、必要に応じて分析

『情報セキュリティ問題に取り組む政府の役割・機能の見直しに向けて』（2004年12月７日 IT戦略本部決定）

『「セキュア・ジャパン」の実現に向けた取組みの評価等及び合理性を持った持続的改善の推進について』（2007年２月２日情報セキュリティ政策会議決定）

をもとに内閣官房情報セキュリティセンターが主体的に推進し、各府省庁はこれに協力

(9)

点検段階の評価等のあり方と評価指標（１）

目的

補完調査

政府機関のセキュリティ対策

【注１】地方公共団体に関しては、重要インフラの一分野として様々な取組みを進めており、評価指標についても重要インフラの一部としてみることとする。

各府省庁と政府全体の２つのPDCAサイクルが確実かつ自立的に回っていることの確認政府機関統一基準による対策の持続的改善構造の維持、継続的な評価等の実施

－政府機関・地方公共団体－

政府機関統一基準以外の関連対策の状況把握

社会的に問題となった情報セキュリティ上の課題に対応するための緊急調査成果（アウトプット）評価指標

結果（アウトカム）評価指標重点検査

対策実施状況報告

情報セキュリティマネジメントの総合評価

情報セキュリティ報告書に係る評価等へ

プロセスを一本化

【注２

】

重要な情報システムに関する対策実施状況を評価全行政事務従事者の対策実施状況を自己点検・報告各府省庁における情報セキュリティマネジメントのベストプラクティス等を抽出・評価

第２次情報セキュリティ基本計画の目標と理想とする以下の将来像に照らし、

評価・検証を総合的かつ分析的に行う

政府機関における情報セキュリティガバナンスの確立に向けた組織・体制の強化政府機関における事後対応力の強化

評価指標

(10)

10

「情報セキュリティ報告書」に係る評価等へプロセス一本化

「情報セキュリティ報告書」に係る評価等へプロセスを一本化

各政府機関においては、行政に対する国民の信頼の確保に向けて情報セキュリティ対策に係る説明責任を明らかにする観点から、それぞれの情報システムの現状を把握した上で、情報セキュリティに対する考え方、情報セキュリティ対策に係る目標や計画及びその実績と評価など、それぞれの政府機関においてPDCAサイクルが有効に機能しているかどうかを数値指標などの客観的指標を積極的に活用して記述した「情報セキュリティに係る年次報告書」（情報セキュリティ報告書）を作成する。

第２次基本計画の「情報セキュリティ報告書」に関する記述

その際、情報セキュリティ報告書の客観性を確保する観点から、最高情報セキュリティアドバイザーがその作成に参画するほか、外部監査制度の活用についても、導入可能な政府機関においては積極的に推進することとする。また、作成した情報セキュリティ報告書は、最高情報セキュリティ責任者が、情報セキュリティ政策会議の下に設置されている「情報セキュリティ対策推進会議」等の場において報告し、公表する。

各政府機関における情報セキュリティ対策のバランスを確保するとともに、一層の充実・向上を推進する観点から、政府機関の情報セキュリティ報告書作成のためのガイドラインを策定するとともに、各政府機関が作成した情報セキュリティ報告書の定量的評価等を行い、その結果を情報セキュリティ政策会議に報告する。

2009年度ガイドライン等作成２～３省庁による先行試行

（公表及び評価はしない）

2010年度全府省庁で試行

（公表及び評価はしない）

2011年度完全実施

（公表及び評価を実施）

－政府機関－

自己点検、

重点検査の実施自己点検、

重点検査の実施年間計画に基づく

情報セキュリティ対策の実施年間計画に基づく情報セキュリティ対策の実施情報セキュリティ

対策の年間計画類の策定情報セキュリティ対策の年間計画類の策定

情報セキュリティ報告書の作成情報セキュリティ報告書の作成

ＮＩＳＣ各府省庁

情報セキュリティ対策の浸透・定着反映

基礎資料として入手各府省庁基準の

見直し各府省庁基準の見直し

最高情報ｾｷｭﾘﾃｨｱﾄﾞﾊﾞｲｻﾞｰ連絡会議（仮称）

推奨事例候補の推薦推奨事例候補の推薦

情報ｾｷｭﾘﾃｨ対策推進会議

情報ｾｷｭﾘﾃｨ政策会議１Ｑ

１Ｑ３Ｑ３Ｑ～４Ｑ

１Ｑ報告

入手

検討評価等の考え方

及び評価のプロセスの見直しガイドラインの見直し評価等の考え方及び評価のプロセスの見直しガイドラインの見直し

１Ｑ

P D C

A

ガイドライン等の策定ガイドライン等の策定

P

A

P :Plan

P :Plan D :DoD :Do C :CheckC :Check A :Act

４月５月

６月情報ｾｷｭﾘﾃｨ報告書

専門委員会

事件、事故からの教訓

国民

評価書の報告評価書の報告

１Ｑ情報セキュリティ対策の推進

情報セキュリティ対策

の推進 _１Ｑ

他府省庁の推奨事例の採用他府省庁の推奨事例の採用他府省庁の推奨

事例の採用他府省庁の推奨事例の採用

A

各府省庁の情報セキュリティ対策水準の定量的評価各府省庁の情報セキュリティ対策水準の定量的評価 _{４Ｑ～１Ｑ}

D

推奨事例の選定推奨事例の選定

情報セキュリティ報告書の必須項目の見直し対策実施状況、重点検査の調査方法の見直しと調査項目の見直し

情報セキュリティ報告書の必須項目の見直し対策実施状況、重点検査の調査方法の見直しと調査項目

の見直し１Ｑ

C

D

報告報告

報告公表（１Ｑ）

１Ｑ

公表（１Ｑ）

検討

技術や環境の変化等

(11)

点検段階の評価等のあり方と評価指標（２）

目的

評価指標

補完調査 IT障害等の事例についての調査を実施、可能な範囲で公表成果（アウトプット）評価指標

それぞれ指標を定めて検証（取組みの進捗状況の客観的事実を指標として用いて確認）

結果（アウトカム）評価指標

第２次行動計画の目標と理想とする将来像に照らして、評価・検証を総合的かつ分析的に行う

第２次行動計画を基にした取組みが効果的に機能しているかを対策の検証、施策の検証や補完調査を基に把握する

重要インフラ事業者等が講ずる対策の検証政府機関等による重要インフラ施策の検証

検証レベルを逸脱したIT障害の発生状況（10分野全体での総数）

対策の評価は各事業者の自己評価とし、可能であれば実施状況を明らかにする安全基準等の整備及び浸透

情報共有体制の強化共通脅威分析

分野横断的演習環境変化への対応

採録した対策項目数、定期的な事故検証に取り組む事業者数重要インフラ事業者等による指針の評価

内閣官房発信情報件数、セプター等の共有情報件数情報を評価した事業者の数

検討項目数、検討結果の事業者による評価延べ参加人数、得られた知見を評価した事業者数ウェブコンテンツの充実度、セミナー等の回数…等

『重要インフラの情報セキュリティ対策に関わる第２次行動計画』に示された枠組みを基に評価・検証を行う客観的事実を指標として、事業者等の対策、政府機関等による施策を検証

第２次行動計画の目標に照らし、取り組みの妥当性を評価

－重要インフラ－

(12)

12

点検段階の評価等のあり方と評価指標（３）

目的

評価指標

補完調査

成果（アウトプット）評価指標

行政活動により提供されたモノやサービスの量など取組みの浸透度を測るもの各種評価及び認証制度に基づく認証取得件数、試験資格取得者数…等結果（アウトカム）評価指標

行政活動の結果、国民生活や社会生活に及ぼされる効果を測るもの

「意識面」「対策面」の浸透度を測る指標、「インシデント・犯罪」の被害に関わる指標を設定意識面

対策面

インシデント・犯罪

対策の阻害要因（トップの意識等）…等インターネット利用で感じる不満・不満…等情報セキュリティポリシー策定状況…等不正アクセス・ウイルス対策状況…等

被害・トラブルの遭遇状況、脆弱性に関する届出状況･･･等企業

個人企業個人

企業・個人の対策を推進する環境の現況について、政府機関と関わる側面から焦点を当てた調査を行う政府機関が企業・個人から調達する製品・サービスに対する要求水準や選定プロセスの妥当性の確認政府機関が企業に外部委託する際の委託先管理の適切性の確認

…等

－企業・個人－

意識の啓発、各主体が自主的に行う情報セキュリティ対策の支援など環境整備を行う意識、対策の浸透の度合いを既存データの収集により把握

2012年の“あるべき姿”への到達度を測る観点でふさわしい指標の設定、改善