事 事 務 務 局 局 説 説 明 明 資 資 料 料
2007年
2007年6月6月14日14日
内閣官房情報セキュリティセンター(NISC)
内閣官房情報セキュリティセンター(NISC)
パブリックコメントの結果について
パブリックコメントの結果について
「セキュア・ジャパン2007(案)」等に対するパブリックコメントの結果について
経 緯
○ 「セキュア・ジャパン」の実現に向けた取組みの評価等及び合理性を持った持続的改善の推進について(政策会議決定)
○ 情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方(政策会議了解)
第10回情報セキュリティ政策会議(H19.2.2)
○ 「2006年度の情報セキュリティ政策の評価等 -「真の情報セキュリティ先進国」を目指す取組みの1年目の評価-」
(評価2006)を政策会議に報告。
○ 以下について審議を実施、パブリックコメントに付すことを決定。
・ セキュア・ジャパン2007(案)
・ 政府機関の情報セキュリティ対策のための統一基準(第2版)(案)
・ 重要インフラにおける情報セキュリティ確保に係る「安全基準等」策定のための指針(改定案)
第11回情報セキュリティ政策会議(H19.4.23)
評価等の実施
■ 実 施 期 間 : 平成19年4月23日(月) ~ 平成19年5月23日(水)
■ パブリックコメント総数 : セキュア・ジャパン2007(案)
39件【内訳 企業・団体 : 37件、 個人 : 2件】
政府機関の情報セキュリティ対策のための統一基準(第2版)(案)
13件【内訳 企業・団体 : 11件、 個人 : 2件】
重要インフラにおける情報セキュリティ確保に係る「安全基準等」策定のための指針(改定案)
1件【内訳 企業・団体 : 1件】
■ 基本的方向性についての評価・賛意の表明、施策実施にあたっての配慮要望等幅広い意見の提出あり。
⇒各文書の策定・実施をはじめ、今後の情報セキュリティ政策の推進にあたって適切に対応。
パブリックコメントの結果
「セキュア・ジャパン
「セキュア・ジャパン 2007 2007 」 」 ( ( SJ2007 SJ2007 ) ) の の 決定について
決定について
「第1次情報セキュリティ基本計画」、評価2006及びSJ2007の関係等
2006年度 2009年度
2005年度 2008年度
セキュア・
ジャパン 2008 セキュア・
ジャパン 2008
「セキュア・ジャパン2006」
① 2006年度の実施計画
~「官民におけるセキュリティ対策の体制の構築」
② 2007年度の重点施策の方向性
~「官民におけるセキュリティ対策の底上げ」
政府
政府機関機関・地方公共団体・地方公共団体 重要インフラ重要インフラ 企企 業業 個個 人人
目標
情報セキュリティ技術戦略の推進 情報セキュリティ人材の育成確保
国際連携・協調の推進 犯罪の取締り、権利利益の保護救済
「第1次情報セキュリティ基本計画」(2006年2月2日 情報セキュリティ政策会議)
重要政策横断的な
「セキュア・ジャパン2007」
2007年度
① 2007年度の実施計画(159施策)
~「官民におけるセキュリティ対策の底上げ」
② 2008年度の重点施策の方向性(24施策)
~「セキュリティ基盤強化に向けた集中的取組み」
報告 報告
評価 2006
評価 2006
評価 2007
評価 2007
・4月23日から約1か月間のパブリックコメントを経た後、6月の政策会議において最終決定。
スケジュール
報告を受け止める形 で政策会議として現
状を認識・評価 報告を受け止める形
で政策会議として現 状を認識・評価
SJ2007に記載した施策の内訳
SJ2007
(第3
章~第5
章)2007
年度に実施する施策159
施策新規施策
継続施策
48
施策111
施策非継続施策
22
施策(参考)
SJ2006
の133施策の内訳
実施完了施策 発展的解消施策
14
施策8
施策SJ2007
(第6
章)2008
年度重点施策の方向性を 記載した施策24
施策SJ2007
SJ2006
(全
183
施策)「セキュア・ジャパン2007」のポイント
○2006年度の評価を踏まえ、「第1次情報セキュリティ基本計画」(2006年2月2日)の実現に向けた2年目の取組みをまとめ る。セキュリティ対策を推進する体制の維持や、対策が不十分な部分の底上げを含めて対策推進の安定化を図る。
○2007年度に実施する具体的行動計画と、2008年度の重点施策の方向性を示す。
<2006末の状況認識・評価を踏まえた取組みの方向性>
<2006末の状況認識・評価を踏まえた取組みの方向性>
¾政府機関対策の徹底と定着に向けた取組み の拡充
¾取組みが遅れがちな対策実施主体の取組み 強化
¾2006年度の取組みで不足感が目立った対 策実施のための体制・人員の充実
¾国際的相互依存関係の深化などを踏まえた 国際対応の本格化
¾喫緊の課題として迅速かつ集中的に取組み の推進(電子政府の情報セキュリティ強化)
<「セキュア・ジャパン2007」のポイント>
<「セキュア・ジャパン2007」のポイント>
取組みの 方向性 取組みの 取組みの 方向性方向性
政府機関情報セキュリティ対策の拡充 政府機関情報セキュリティ対策の拡充
【主な具体策】
¾ 「政府機関統一基準」に基づくPDCAサイクルの定着化及 び対策実施状況等の本格的な評価を行い、結果を公表
¾ 内閣官房を中心としたサイバー攻撃等に関する情報収集、
分析・解析機能(GSOC)の構築
広く国民も含めて対策が遅れがちな主体の対策の普及 広く国民も含めて対策が遅れがちな主体の対策の普及
情報セキュリティ基盤強化に向けた集中的な取組み 情報セキュリティ基盤強化に向けた集中的な取組み
【主な具体策】
¾ 小中高等学校における情報セキュリティ教育を実施
¾ 「インターネット安全教室」等による普及啓発を実施
¾ 中小企業における情報セキュリティ対策の推進
¾ 重要インフラ分野横断的な重要インフラ連絡協議会創設の 検討
→2008年度の重点施策の方向性
【主な具体策】
¾ 政府機関における情報セキュリティ人材の重点確保
¾ 情報セキュリティ政策の国際展開に向けた集中的な取組み
¾ 電子政府のシステム設計段階からのセキュリティの確保
<基本計画を実現するための取組みの底上げ>
<基本計画を実現するための取組みの底上げ>
重重 点 重 点点
-「第1次情報セキュリティ基本計画」(2006年度~
2008年度)の実現に向け、取組みの底上げを含む 二年目の取組み
対策実施4領域における情報セキュリティ対策の強化
1 1 政府機関・地方公共団体 政府機関・地方公共団体
政府機関について、2008年度までに政府機関統一基準のレベルを世界最高水準のものとし、かつ、2009年度初めには すべての政府機関において政府機関統一基準が求める水準の対策を実施していることを目指す。
【 目 標 】
【主な施策】○ 「政府機関統一基準」に基づくPDCAサイクルの定着・本格的な評価の推進及び結果の公表(内閣官房及び全府省庁)
○ 各府省庁共通的課題への共同的取組みや適切なベストプラクティスの共有(内閣官房及び全府省庁)
○ 高セキュリティ機能を実現する次世代OS環境の開発(内閣官房、内閣府、総務省及び経済産業省)
○ 政府機関に対するサイバー攻撃等に関する政府横断的な対応体制(GSOC)の構築(内閣官房及び全府省庁)
○ 地方公共団体における情報対策の手引きの作成(総務省) 等
2 2 重要インフラ 重要インフラ
2009年度初めには、重要インフラにおけるIT障害の発生を限りなくゼロにすることを目指す。
【 目 標 】
【主な施策】○ 各重要インフラ分野における情報セキュリティ確保に係る「安全基準等」の見直し(重要インフラ所管省庁)
○ 安全基準等の浸透状況等に関する調査の実施(内閣官房及び重要インフラ所管省庁)
○ 分野横断的な情報共有推進のための「重要インフラ連絡協議会(仮称)」創設の検討(内閣官房及び重要インフラ所管省庁)
○ 官民の連絡・連携体制の機能向上等のための重要インフラ横断的な機能演習の実施(内閣官房及び重要インフラ所管省庁)
○ 事業継続を含むIT障害発生時の対応能力向上等を図るための重要インフラ分野の相互依存性解析の推進(内閣官房)
等
新規17施策+継続31施策=計48施策
新規3施策+継続11施策=計14施策
「セキュア・ジャパン2007」に盛り込まれた具体的施策 ①
対策実施4領域における情報セキュリティ対策の強化(続き)
3 3 企 企 業 業
2009年度初めには、企業における情報セキュリティ対策の実施状況を世界トップクラスの水準にすることを目指す。
【 目 標 】
【主な施策】○ 企業における情報セキュリティガバナンスの確立促進(経済産業省)
○ 政府調達において競争参加者に入札条件等として求めるセキュリティ対策レベルの検討
(内閣官房、総務省、財務省及び全府省庁)
○ 中小企業における情報セキュリティ対策の推進(経済産業省)
○ 情報セキュリティ関連リスクに対する定量的評価手法についての研究(経済産業省)
○ 情報通信セキュリティ人材を育成するための研修事業への支援(総務省) 等
4
4 個 個 人 人
2009年度初めには、「IT利用に不安を感じる」とする個人を限りなくゼロにすることを目指す。
【 目 標 】
【主な施策】○ 小中高等学校における情報セキュリティ教育の推進(文部科学省)
○ 「インターネット安全教室」の充実・強化と全国での継続的開催(経済産業省及び警察庁)
○ 保護者・教職員向け啓発講座(e-ネットキャラバン)の全国規模での実施等(総務省及び文部科学省)
○ 教育機関関係者、地方公共団体職員等を対象とする講演等(サイバーセキュリティ・カレッジ)
の全国各地での開催 (警察庁)
○ 「情報セキュリティの日」の実施(内閣官房、警察庁、総務省、文部科学省及び経済産業省) 等
新規2施策+継続16施策=計18施策 新規11施策+継続12施策=計23施策
「セキュア・ジャパン2007」に盛り込まれた具体的施策 ②
新規0施策+継続5施策(1)=計5施策(1) 新規3施策+継続3施策=計6施策 新規3施策+継続9施策=計12施策 新規4施策+継続7施策=計11施策 新規6施策(6)+継続2施策(1)=計8施策(7) 新規5施策+継続20施策(3)=計25施策(3)
横断的な情報セキュリティ基盤の形成
1 情報セキュリティ技術戦略の推進
【主な施策】○ 高セキュリティ機能を実現する次世代OS環境の開発(内閣官房、内閣府、総務省及び経済産業省)
○ 長期的な視野で抜本的な技術革新等の実現を目指す「グランドチャレンジ型」のテーマ検討(内閣官房及び内閣府) 等
2 情報セキュリティ人材の育成・確保
【主な施策】○ 政府における情報セキュリティ教育の統一的な推進(内閣官房及び全府省庁)
○ 産業界が求める高度IT人材像や実践的な高度IT人材育成手法を検討する産学官協議会の設置(経済産業省) 等
3 国際連携・協調の推進
【主な施策】○ 政府全体として戦略的に国際協調・貢献に取り組むための基本方針及び具体策の検討(内閣官房)
○ ベストプラクティスの国際的な発信・普及(内閣官房及び全府省庁) 等
4 犯罪の取締り及び権利利益の保護・救済
【主な施策】
1 政策の推進体制、他の関係機関等との連携
【主な施策】○ 政策推進に必要な基礎情報についての調査機能などを含む情報セキュリティセンター(NISC)の強化(内閣官房)
○ 各府省庁の対策推進のための情報セキュリティ・コンサルティング機能の充実(内閣官房)
○ 関係機関等(IT本部、経済財政諮問会議、総科会議、中央防災会議等)との連携強化(内閣官房及び内閣府) 等
2 持続的改善構造の構築
【主な施策】○ 「セキュア・ジャパン2007」の評価等の実施及び公表(内閣官房)
○ 政府機関の対策強化に向けたマイルストーン(定常的な評価のスケジュールや評価項目等)の検討等(内閣官房)
○ 情報セキュリティ対策に関する評価指標の活用の推進と改善の検討(内閣官房、総務省及び経済産業省) 等
政策の推進体制等
○ デジタルフォレンジックに関する知見の集約・体系化等の推進(警察庁)
○ サイバー空間における権利利益の保護・救済のための基盤に関する調査研究(内閣官房) 等
注:括弧内の数字は再掲分を内数で表示
「セキュア・ジャパン2007」に盛り込まれた具体的施策 ③
○2007年度の対策の底上げを受け継ぎ、2008年度に向けた集中的な取組みを行うべく、「情報セキュ リティ基盤の強化に向けた集中的な取組み」を重点として、2008年度に推進する施策の方向性を提示。
2009年度(第2次基本計画の下での取組み)へ
情報セキュリティ人材の育成・確保に向けた集中的な取組み
○ 業界横断的な人材育成支援体制の整備と総合的な人材 育成・ 確保支援
○ 先導的ITスペシャリスト育成推進プログラム
○ 政府機関における情報セキュリティ人材の重点確保 等
2008年度:情報セキュリティ基盤の強化に向けた集中的な取組み
情報セキュリティ政策の国際展開に向けた集中的な取組み
○ NISCによる窓口機能の強化
○ 2007年度に策定する国際戦略の推進
○ CSIRT及び関連組織の国際的な対応体制の強化、
情報連携の強化 等
電子政府の情報セキュリティ強化のための総合的な取組み
○ 電子政府の情報セキュリティを企画・設計段階から確保する(security by design)ための方策の強化
○ 電子政府に係る情報セキュリティリスクの検証の推進とその手法の統一化の推進
○ GSOCの着実な運用と分析・解析機能の強化 等
10施策 9施策
5施策
計24施策
「セキュア・ジャパン2007」に盛り込まれた具体的施策 ④
「「政府機関の情報セキュリティ対策のための統一基準政府機関の情報セキュリティ対策のための統一基準
(第2版)
(第2版)」の決定について」の決定について
政府機関統一基準の改訂について
1.技術・環境の変化の反映
1) 情報システムへのIPv6導入に伴う対策(6.2.3) (新規)
IPv6製品の普及に伴い、IPv4とIPv6が共存する情報システムに対する対策の追加
2) 踏み台対策(4.2.4) (新規)
府省庁の情報システムが第三者によって意図しない目的で使われること(踏み台)を防止する対策の追加
3) 暗号モジュール試験及び認証制度の利用(4.1.6)
我が国におけるISO/IEC 19790に基づく暗号モジュール試験及び認証制度の本格運用を踏まえ明記
2.実務に即した見直し等
1) 情報システム台帳の整備(4.3.1) (新規)
各府省庁が保有する情報システムについて、取り扱う情報とその格付け等を一元的に管理することを追加
2) 情報の取扱いに関する規定の見直し(1.1.3 3.2.4 3.2.5 等) 機密性2情報の範囲、情報の移送・提供等に伴う許可・届出手続を見直し
3) 情報システムの物理的対策の強化(5.1.1)
情報システムの物理的隔離及び入退出管理、盗難防止対策を強化遵守事項から基本遵守事項に変更
4) 情報セキュリティ監査体制の明確化(2.3.2)
情報セキュリティ監査実施者の位置づけ、自己点検との関係を明確化
5) 暗号化の運用管理方法の明確化(4.1.6)
暗号化の方法について、各職員が個別に選択せずに、府省庁で運用管理方法を定めることを明確化
6) その他
表現の改善等
「重要インフラにおける情報セキュリティ確保に係る
「重要インフラにおける情報セキュリティ確保に係る『『安安 全基準等全基準等』』策定にあたっての指針」の改定について策定にあたっての指針」の改定について
指針の見直しの基本的スタンス
指針の目的・位置づけ等を踏まえ、4つのアプローチより抽出された論点から問題意識を整理し、改定を検討
•「安全基準等」策定にあたっての指針(以下「指針」)は、重要インフラ分野における安全基準等の策定・改定を支援することを目的 として2006年2月に策定。
•「指針」の策定に当たっては、各重要インフラ分野において、2006年9月を目処に「安全基準等」の策定・見直しがなされることを 前提に、「安全基準等」において何らかの対処がなされていることが望ましい項目を列記。
•今回フォローアップとして「指針」の見直しを行うにあたっては、まず以下の4つのアプローチにより分析・検証を行い、情報セキュリ ティ対策に関する「問題意識」を抽出。
•抽出した「問題意識」について、現在の「指針」と照らし合わせ必要な改定を行い、各重要インフラ分野の「安全基準等」における対 策の状況や今後の方針を確認・検証。
1年ごと、及び必要に応じて見直し
情報セキュリティを取り巻く環境の変化に応じ随時見直し
情報セキュリティ政策会議(事務局:内閣官房)
指針の策定(2006.2)
「安全基準等」の 策定・見直し(2006.9)
【確認・検証】 → 必要な対策 見直しの4つのアプローチ
①定常的なIT障害の発生状況の分析
②「相互依存性解析」の結果
③関連文書の検証
④社会的条件(環境)の変化の検証
事業分野においてその特性に応じた必要又は 望ましい情報セキュリティ対策の水準を明示
分野横断的な視点から情報セキュリティ対策の実施に 当たり、対処がなされていることが望ましい項目を列記
【改 定】 案提示(4月)→パブリックコメント(5月)→改定(6月)
問題 意識 の 抽出
各重要インフラ分野
見直しの4つのアプローチ
セキュア・ジャパン セキュア・ジャパン
2006 2006
((2006年2006年6月6月15日情報セキュ15日情報セキュ リティ政策会議決定)
リティ政策会議決定)
【具体的施策】
「指針」の見直しの方向性
「安全基準等」の把握等を通じて、重要インフラ分野に共通的な要検討事項が新たに導き出 されるのではないか
「相互依存性解析」の知見を踏まえ、「指針」の見直しにどのように活用するか
「指針」や「セキュア・ジャパン2006」の記載内容から導き出される方策以外に「指針」の見直 しに資する事項はないか
④社会的条件(環境)の変化の 検証
・技術の進歩があったか(新たな脅威の発生・新たな対策の確立)
・社会的重要性に変化があったか
①定常的なIT障害の発生状況の 分析
・各重要インフラ分野に共通する横断的な対策課題の分析・検討の結果、情報セキュリ ティ対策の新たな観点が発見されたか
②「相互依存性解析」の結果 ・相互依存性解析の結果を基礎資料にして、新たな「何らかの対処がなされていること が望ましい項目」をどのように活用できるか → 本年度は見直しに至らず
③関連文書の検証 ・情報セキュリティ対策の新たな観点が追加されたか。それは、重要インフラ分野に共 通的な要検討事項といえるか
見直しの4つのアプローチ
(指針より)
・内閣官房は、1年ごと、及び必要に応じて適時に、本指針の見直しを推進する
・内閣官房は定常的なIT障害の発生状況の把握を通じ、各重要インフラ分野に共通する横断的な対策課 題の分析・検討を行い、本指針改定のための基礎資料として整備する
・(前略)内閣官房が各重要インフラ所管省庁及び重要インフラ事業者等の協力を得て相互依存性解析を 実施する際には、その結果を本指針や各重要インフラ分野における「安全基準等」の見直しの基礎資料と して提供する
(「セキュア・ジャパン2006」より)
政府機関統一基準、その他関連文書を参照しつつ、各重要インフラ所管省庁の協力を得て、2006年度中 を目処に指針の見直しを実施する
「指針」の目的である「安全基準等の策定・改定を支援」に資するため、各分野 に共通する横断的な対策課題の分析・検討を行うことが必要ではないか 指針見直しの観点として、以下4つのアプローチにて状況検証を実施
ア)各重要インフラ分野 の安全基準等の策定・見 直し
(重要インフラ所管省庁)
イ)「安全基準等」の策定 状況の把握及び評価
(内閣官房)
ウ)指針の見直し
(内閣官房)
状況検証: 定常的なIT障害の発生状況の分析
z クレーン船により送電線が2回線 とも損傷。首都圏広域にわたる 停電が発生
z システム運用時にソフトウェア、
ハードウェア等の誤処理、停止 が原因で障害が発生
z サービスの要求が急激に増加す ることにより、サービス要求の処 理能力を超過し、処理の停止、
遅延(輻輳)が発生
z 自宅に持ち帰った業務データが 格納されたPCがコンピュータウイ ルスに感染、ファイル交換ソフト ウェア経由でインターネットに流 出
z 台湾沖で地震が発生。地震の影 響により海底ケーブルが破損し、
通信障害が発生
指針策定後の主要なIT障害の発生状況から、各重要インフラ分野に共通する横断的な対策課題の分析・検討を実施
(4)ファイル交換 ソフトウェアによ る情報漏えい
(1)システム障害 によるサービス停 止、低下
(2)首都圏広域停 電によるIT障害
概要 分析結果
(3)台湾沖地震に よる通信の途絶
z 停電により他の分野の事業者にも影響が波及したが、
重要インフラで維持すべき重要システムにおいては、
停電時への対応として電源供給の多重化、予備設備 等による対応がなされた
z IT障害の発生源となる脅威は海外にも存在する場合 もあり、必ずしも国内に限らない
z 情報取扱いの誤りが原因で発生している情報漏えい として、脅威の顕在化後も続発
z 対策を実施しても再発していることから、情報の取扱 いの見直し、情報漏えい予防の対策及び対策に対す る周知・教育等の情報漏えい防止のための取り組み が必要ではないか
z 外部委託先でとるべき情報漏えい防止策としても同 様の対策が必要なのではないか
z 情報システムの冗長化、負荷分散等のサービス停止 の防止策及び処理性能確保のための対策を検討する 必要があるのではないか
z 運用開始前に、システム品質確保策として負荷試験、
試運転の実施や、特に新規技術を導入する場合の技 術の成熟度や運用実績の確認等性能面の検証を十 分に行う必要があるのではないか
指針策定後の主要なIT障害の発生状況の分析結果より、5箇所(下線部分)について指針を改定
(4)ファイル交換ソ フトウェアによる 情報漏えい
(1)システム障害 によるサービス停 止、低下
(2)首都圏広域停電 によるIT障害
(3)台湾沖地震に よる通信の途絶
分析結果より抽出した問題意識
z 「4つの柱 ウ 情報セキュリティ要件の明確化に基 づく対策」にて可用性確保のために導入すべきセキュ リティ要件として負荷分散、冗長化を反映する必要が あると考えられる
z 「4つの柱 エ 情報システムについての対策」にて、施設と環境 の対策として、既に考慮されている
z 「3つの重点項目 イ 情報漏えい防止のための対策」
にて、発生防止及び再発防止を明示する必要があると 考えられる
z 停電時への対応
z IT障害の発生源となる脅威は国 内に限らない
z 対策を実施しても再発 z 冗長化、負荷分散
z 処理性能確保、システム品質確 保
z 「3つの重点項目 ウ 外部委託における情報セキュリ ティ確保のための対策」にて、外部委託先でとるべき情 報漏えい防止策を明示する必要があると考えられる z 外部委託先でとるべき情報漏え
い防止策
z 「4つの柱 エ 情報システムについての対策」にて対 策の例示として処理性能確保やシステム品質確保を 反映する必要があると考えられる
指針改定に向けた検討
z 「4つの柱 エ 情報システムについての対策」にて、I T障害の発生源となる脅威は国内に限らない点を反 映する必要があると考えられる
状況検証: 定常的なIT障害の発生状況の分析
状況検証: 関連文書の検証
指針策定後の関連文書から、各重要インフラ分野に共通する情報セキュリティ対策の新たな観点の検証を実施
(3)各重要インフ ラ分野の安全基 準等
(1)国内外の規 格文書
(2)省庁ガイドラ イン
(4)政府機関統 一基準(及び個 別マニュアル 群)
z 政府機関統一基準(2005年12月情 報セキュリティ政策会議決定)の改 定状況を検証
z 政府機関統一基準適用個別マニュ アル群(22文書:2006年2月以降順 次作成)について検証
z 以下の規格文書を検証
z 政府機関統一基準の見直し課題を参考にすると、重要イン フラにおいても、「踏み台」対策に対する検討、想定するリス クについて見直しを実施する必要があるのではないか z 政府機関統一基準適用個別マニュアル群は、政府機関統
一基準を更に具体化したレベルとして事業者が安全基準等 から内規を作成する際の関連文書として参照することが望 ましい
z 指針の表現上の問題として、強制基準以外の場合は「遵守 が必要である旨を規定する」のは適切でない点判明
z 情報セキュリティ対策の新たな観点:自己点検・監査の実施 z 「安全基準等」の策定状況の把握か
ら得られた状況を検証
z 「安全基準等」の評価の一環として、
各分野の安全基準等における対策 項目の具体的な記載内容を検証
z JIS Q 27001及びJIS Q 27002:ISO/IEC 17799の改訂に て対応された「リスクアセスメント及びリスク対応」及び「情報 セキュリティインシデント管理」のカテゴリの新設等を反映。
z JIS Q 15001:個人情報保護法との整合性が図られるととも に、マネジメントシステムを運用するための要件の追加 z ISO/IEC 20000-1及びISO/IEC20000-2:ITサービスマネジ
メントについてのPDCAサイクルの運用を規定。
z 各省庁にて策定されたガイドライン 類について、情報セキュリティ対策 の新たな観点が追加されたかを検 証
z 個人情報の保護に関するガイドライン:指針制定以降は、Q
&Aの内容反映等や法令改正に伴う所要の改正等のみ z 情報システムの信頼性向上に関するガイドライン:情報シス
テムの企画・開発から保守・運用にわたり関係者が遵守す べき又は遵守することが望ましい事項を規定
• JIS Q 27001:2006 2006年5月
• JIS Q 27002:2006 2006年5月
• JIS Q 15001:2006 2006年5月
• ISO/IEC 20000-1:2005 (2007年JIS化予定)
• ISO/IEC 20000-2:2005 (2007年JIS化予定)
概要 検証結果
問題意識の抽出: 関連文書の検証
指針策定後の関連文書の検証結果より、2箇所(下線部分)について指針を改定
(3)各重要インフ ラ分野の安全基 準等
(1)国内外の規格 文書
(2)省庁ガイドライ ン
(4)政府機関統一 基準(及び個別 マニュアル群)
z 強制基準以外の場合は「遵守が 必要である旨を規定する」のは 適切でない
z 情報セキュリティインシデント管理
z 情報システムの企画・開発から保 守・運用
z 「3つの重点項目 ア IT障害の観点から見た事業継続性確保の ための対策」にて既に考慮されている
z 「4つの柱 エ 情報システムについての対策」にて既に考慮され ている
z 「『安全基準等』策定の目的」にて強制基準以外の場合 は「遵守が必要である旨を規定する」のは適切でない点 を反映する必要があると考えられる
z 「3つの重点項目 イ 情報漏えい防止のための対策」にて既に考 慮されている
z 「4つの柱 エ 情報システムについての対策」にて既に考慮され ている
z 個人情報保護法との整合性
z ITサービスマネジメントについて PDCAサイクルを運用
z 「4つの柱 ア 組織・体制及び資源の確保」にて自己 点検・監査の実施を反映する必要があると考えられる z 自己点検・監査の実施
検証結果より抽出した問題意識 指針改定に向けた検討
z 「踏み台」対策に対する検討 z 「『安全基準等』の対象範囲及び対象とする脅威」にて既に考慮さ れている
z 「『安全基準等』の継続的検証 ①『安全基準等』の見直し」にて既 に考慮されている
z 想定するリスクについて見直しを 実施
z 「4つの柱 ウ 情報セキュリティ要件の明確化に基づく対策」にて 既に考慮されている
状況検証: 社会的条件(環境)の変化の検証
以下の社会的条件(環境)の変化より、新たな脅威の発生・新たな対策の確立についての検証を実施
z リスクマネジメントの観点から、情報 セキュリティに関する新たな脅威の 発生や新たな対策の確立などの動 きを検証(以下文書例)
z 2006年度末にCEPTOAR整備(新規追加分野は基本的合 意の完了)を目指す中、各重要インフラ分野において CEPTOAR整備についての合意が得られつつある z IT障害の未然防止、発生時の被害
拡大防止・迅速な復旧及び再発防 止のため、各重要インフラ分野にお ける「情報共有・分析機能」
(CEPTOAR)の整備を実施中
z 企業改革法(米国)の施行や金融商品取引法の制定を受 け、財務報告に係る内部統制の構築で求められている「IT への対応」を解説したガイドライン類の策定が進んでいる z 事業継続計画(BCP)について、国内外でガイドライン等の
策定がなされる中、2008年の規格化を目標とした国際標 準化の動きがある
z いずれの側面においても、マネジメントシステムの基本的な 枠組みであるPDCAサイクルの適用を前提として、具体的 な個別の対策を実施することとなっている
z IT化の進展により、情報システムへの依存度がより高くなっ ている一方で、そもそもIT依存が見えにくくなってきている 点、及びIT依存が明らかであっても技術やノウハウの理解 が十分でなく適切な対応が困難になってきている点から、IT 依存のブラックボックス化が進みつつある
z 制御系システムをはじめとして、かつて機械的でより単純な 原理にて動作するものに対しても、より一層の信頼性確保 やコスト低減等を目的に、ITの適用範囲の拡大・高度化が なされつつある
z 重要インフラにおける情報セキュリ ティ対策の観点から、社会的条件
(環境)の変化として考えられる最近 の状況を検証
(2)重要インフ ラ全般の動き
(1)リスクマネジ メント関連の動 き
(3)重要インフ ラ行動計画に 基づく取組み
• 事業継続管理(BCM)に関する利用ガイド
(JIPDEC)
• サーベインズ・オクスリー法(企業改革法)遵 守のためのIT統制目標 第2版(ITGI)
• 事業継続ガイドライン 第一版 解説書(案)(内 閣府 防災担当)
• システム管理基準 追補版(財務報告に係る IT統制ガイダンス)(経済産業省)
概要 検証結果
問題意識の抽出: 社会的条件(環境)の変化の検証
社会的条件(環境)の変化の検証結果より、3箇所(下線部分)について指針を改定
z CEPTOAR整備についての合意 z PDCAサイクルの適用(内部統制
の構築で求められている「ITへの 対応」)
z IT依存のブラックボックス化
(2)重要インフラ 全般の動き
(1)リスクマネジメ ント関連の動き
(3)重要インフラ 行動計画に基づ く取組み
z 「4つの柱 ア 組織・体制及び資源の確保」にて既に考慮され ている
z 「4つの柱 エ 情報システムについての対策」にてIT 依存のブラックボックス化やITの適用範囲の拡大・高 度化が進みつつある点を反映する必要があると考え られる
z 「フォローアップ」にてCEPTOAR整備についての合 意を反映する必要があると考えられる
z 「3つの重点項目 ア IT障害の観点から見た事業継 続性確保のための対策」にてPDCAサイクルの適用 を反映する必要があると考えられる(事業継続計画)
z PDCAサイクルの適用(事業継 続計画)
検証結果より抽出した問題意識 指針改定に向けた検討
z ITの適用範囲の拡大・高度化
