資料２

  情報セキュリティ政策会議  情報セキュリティ報告書専門委員会 

第２回会合議事要旨   

１．日  時 

    平成 21 年７月１日（水）  13 時 00 分〜15 時 00 分   

２．場  所 

    内閣府別館会議室   

３．出席者    【委員】 

    大木  榮二郎  委員    工学院大学  教授 

    金子  啓子  委員    パナソニック株式会社情報セキュリティ本部  本部長      喜入  博  委員    金融庁情報化統括責任者（CIO）補佐官 

    高橋  伸子  委員    生活経済ジャーナリスト 

    谷口  博一  委員    有限責任監査法人トーマツ  パートナー 

    藤本  正代  委員   富士ゼロックス株式会社マネジメントイノベーション オフィス  シニアマネージャー 

    満塩  尚史  委員   環境省情報化統括責任者（CIO）補佐官 

（五十音順） 

【政府】 

    内閣官房情報セキュリティセンター      警察庁 

    総務省      経済産業省      防衛省   

４．議事概要 

(1)  本委員会報告書の全体構成（案）について    ○  事務局より資料３に沿って説明 

(2)  情報セキュリティ報告書及び評価書作成までの概略イメージ（案）について    ○  事務局より資料４に沿って説明 

(3) 自由討議 

［第１部に係る自由討議］ 

○   全体的な感想としては、これまでは各省横並びの評価というものだったのが、今 回は、組織ごとに縦に並べて、縦と横が見えてきたように思い、そこが良いと感じ

資料２ 

た。 

○  本書の構成のところで、全体的な報告書自体のプロセスや作成主体をどこかに明 記してほしいと思う。また、もし可能であれば、年間スケジュールもガイドしてあ れば助かると思った。 

○  基本情報のところで１つ抜けていると思ったのが、主となる情報システム、又は、

情報システムの主なものを入れてほしいと思う。また、各組織の規模感が見えづら いと思うので、例えば、組織であれば定員数、IT の規模感ということであれば、IT 予算などを加えられないか。 

→  プロセスに関しては基本計画の中でも少し触れているが、報告書はそれぞれの 役所でアドバイザの方々が関与しながら作り、最終的には、省又は庁を代表する 報告書という形を想定している。それを政策会議の下にある情報セキュリティ対 策推進会議で、各省庁の CISO（局長クラス。多くが官房長。）が、議長である官 房副長官に対して報告し、その結果が速やかにそれぞれの役所の HP などで公表さ れるというイメージを想定している。年間スケジュールについては、ここには年 度ベースと書いてあるが、組織によっては色々な事情があるので、我々としては 柔軟に考えたいとは思っている。スケジュール的な話は報告書の中でなかなか決 めうちするというのが難しいと考えているが、来年度に各省庁トライアル版を作 って、一通り回してみるというプロセスをやるので、その中で、一定のコンセン サスを得ていきたいと考えている。 

○  誰が、誰に報告するかというのが若干分かりにくい。例えば、省内で使うものと、

公開するものは、おそらく違う部分があると思う。例えば、巻頭言というものがあ ったが、これは最高セキュリティ責任者が国民に向けてメッセージを出しており国 民向けと思うが、そのようなものと、省内で管理するために報告を受けて使うもの は違うのではないか。私が官庁関係のセキュリティ監査をやらせていただいたとき も、別のものを作っている。その辺については、公開のための報告書ガイドライン みたいなのが多分要ると思い、この部分は別途また検討が必要と思う。 

○  先ほどの誰が書くのかという話や、今の誰に向けてということをあわせて、中身 をどうするかというのは、重要なポイントだと思う。つまり、この報告書のネット したメッセージは何かということだと思う。伝えるのが、最高情報セキュリティ責 任者名だとすると、自分たちの組織の中でやっていることを自分はどう評価したと いうメッセージを書くべきではないか。そうする場合は、最高情報セキュリティ責 任者が評価するためのディテールの状況は書く必要はあまりなくて、なぜそういう 評価をしたかということが説明できれば良いのだろうと思う。 

○   最高情報セキュリティ監査責任者のコメントでは、評価だけを書くのではなく、

まず「情報セキュリティに対する省としての方針、姿勢」を述べ、次の段階として

「自分が評価した内容を記載する」ことになるのではないか。 

○   先ほどの話（省内で使うものと公開で使うものが別）で気になったのは、内部に 向けての報告書は別途あるというイメージか。情報公開法の件もあるので、あまり ２重ということは想定できないと思っているので、書く分なら書くべき。オーディ ットの結果は具体的な話なので別だと思うが、報告書としてもう１種類あるべきだ ということなのか。 

○  ここで言う報告書は、１種類だと思う。私が頭に浮かんだのは、内部の報告書に 外部に公開する前提ではないものがあるということ。例えば、最高情報セキュリテ ィ責任者が自分でもどうなっているのか知るための仕組みがあって、そのための報 告が多分あると思う。それと、外向けの概要は似ていると思うのですが、ちょっと 違うと思う。ただし、今回は、外向けを意識したものであり、そういう意味では１ 種類かもしれない。 

○  実際に作成してみた経験では、確かに、最初にまとめた内容に対して、最終的に 公開した内容というのは、厚さが薄くなった。そこの選別は、公開することによっ て、リスクが増すかどうか。情報セキュリティは、微妙なところがあって、公開す ることによりリスクを増大する危険性があるものは公開できないため、そういった ことで１つ１つ精査をしていった。このため、社内で管理のために使う情報と公開 する情報とに差が出てくるのは理解ができる。 

○  第１部の情報セキュリティ報告書作成ガイドラインだが、この案は、報告書の目 次集のような内容になっている。ガイドラインというと、普通、作成の仕方や記述 の範囲、レベルなどが記載されるものと思う。各省庁が原案のガイドラインを渡さ れた時にどのレベルまで書くのか迷うのではないか。ガイドラインには、報告書と して書いて良い部分と書いていけない部分だとか、省庁には色々な大きなシステム があるため、報告書の対象とする情報システムの基準、全体的に書けるところから 今回はこれとこれを選んで、調べましたとかがガイドラインに記されていれば、各 省庁で報告書を作成する場合にどのように対応していったら良いのか、レベル感が 分かるようなことが記載されている必要がある。したがってガイドラインには、報 告書作成のスケジュール、この報告書を出したときの取扱い、作成方法・作成の体 制・作成の対象とするシステム、その最後の方に、原案のような目次のひな形、概 要はこんな感じ、という構成だと思う。 

○  第１部で、報告書作成ガイドラインの趣旨や目的という点の記載が非常に簡単に なっているように思える。国民に周知して透明性を増すことで、行政事務全般につ いての安心感を向上させるということ、これが説明責任というところで一言になっ ていると思うのだが、このくらい噛み砕いて書いた方が、より何のために報告書を

作るのかということの意図が伝わりやすいと思う。 

○  IT 戦略の下にある範囲に限って透明性を増すということにしていくべきなのか、

もう少し広げて、例えば、預けている情報が仮に紙で渡したものだとしても、ちゃ んと保護されているということが国民に伝わるというようなところまで、少し視野 に入れるかというところはあるかと思う。例えば、「報告の基本情報」の中に「対 象とする情報」というのがあって、確かに NISC としては、統一基準の範囲しか書け ないのかもしれないが、国民にどういう観点について、安心感を与えるのかという ことから考えると、必須にできなくても強く推奨するみたいなことができるのでは ないか。 

○  業務継続計画が任意であるが、本当に政府インフラで任意で良いのか気になる。

また、個人情報保護なども国民が不安に思うところという意味では、多少、包括さ れるところがあっても良いと思う。 

○  実際に報告書を作る人たちにとって、どういうレベルまで書くのかということに ついてのガイドをはっきりしなければいけないだろう。実際に報告書を書こうと思 うと、細かいいろんなデータを集めて、それを評価していくことになるので、その サマリのメッセージにどこまで入れて、入れないものはどうするのかというあたり は、個別には書けないが、こういう考え方で定義すべきであるというものについて は、何らかの形のメッセージが必要ではないか。 

○  記載してはならない事項は確かにあると思うので、そのガイドは必要と思う。例 えば、普通はセキュリティの人なら IP アドレスは書かないのが当然かもしれない。

そこもある程度ガイドしておいた方が良いとも思うので、そういう意味の整理は少 し必要かと思う。 

○  トライアルをやるということなので、できればそれをベースにサンプルを作って いただきたいと思う。表現のレベルは、そこぐらいしか見るところがないので、サ ンプルは必要かと思う。 

○  時代とともに必須の判断は変わりうるので、任意項目の必須項目への見直しは、

数年おきくらいで構わないが必要と思う。 

○  国民の立場からすると、再発防止策の時に、対症療法ではなく、本質的な問題が 解決されるかどうかを知りたいと思う。また、他の部署では大丈夫かを点検したか どうか、いわゆる横展開が知りたいと思う。 

○  国民から見て、各省庁の責任者からの報告書だとすると、内部監査を実施して、

結果どうだったかというあたりは、報告書のキーとして、必須項目でもいいのでは

ないか。 

○  監査は大事であり、１つの表現の形としてあった方がよいと思う。また、少し方 向を変えてみると組織体制のところで、意志決定会議体と実働組織の形というのは 違うものと感じている。例えば、年度初めの対策などを定常的に実働組織が定め、

それを意志決定会議で決定するという２つ組織体制を表現しなければいけないと思 う。監査に関しても、どちらかに位置づけられた形で、どこの部署からやるとかを 書かれると、見る側とすれば分かりやすくなると感じた。 

○  必須事項として想定しているのが「教育」と「調達・外部委託」で、その他のプ ロセスが全くないという報告書はまずいと思う。そういう意味では、「計画」、「周 知」、「実施」、「評価と改善」などに応じた部分については、何か書かないとい けないという気がしている。その「評価」の一個として、監査ということもあると 思う。内部監査は、業務監査部門があるわけではないので、実は省庁ではかなり難 しいので、そういうところを考えると、何かしらの「評価」は書くべきだが、その 書きぶりはもう少し広げた方がいいと思う。 

○  マネジメント評価に相当する部分を PDCA サイクルみたいに書くとなると、自己点 検結果というのが、別に出てくるのが不思議に思え、システムごとの状況も PDCA サイクルのどこかに入れるべきではないかという考え方も出てくるだろう。各省庁 にこれだけは必須として書いて、マネジメント項目は任意であるが必要に応じて書 いてくれ、というようなスタンスでいくのか、全体を PDCA みたいな構成にして、そ の中に各項目を埋め込んで書いてくれというスタンスにするのか、この委員会とし て全体の構成というのをどういうふうに考えるのかをはっきりしないといけないだ ろう。 

○   情報セキュリティ対策の実施状況について、今年度の重点事項と省庁対策基準 に対する自己点検結果が提示されているが、この記載の前に、省庁のセキュリテ ィポリシー、あるいは対策要綱などに基づいた情報セキュリティ対策の実施状況 の報告がまずあるのではないか。まず省庁のセキュリティポリシーに対して、こ の一年どういうようなことをちゃんとやったかということを記載することが必 要ではないかと思う。 

○  今回の委員会の報告書としては、まず冒頭部分に、委員会はどういうことのた めに開かれて、どういうようなことを検討して、最終的に以下のような提言をす る、というまとめ方になるのではないか。冒頭部分は、委員長が書かれるべきも のかもしれない。 

○  巻頭言の所で最高情報セキュリティ責任者の署名があって、一番最後に総評と して色々途中にあった評価のまとめがある点はいいと思う。つまり、責任者とし

て、全体をどういうふうに評価したかというまとめがあるのは、すごくわかりや すい報告書になっていると思う。ただし、総評というのが最後にあるよりは、む しろ、巻頭言のすぐ後ぐらいに、マネジメントサマリー的に結論を先に書いて、

その内訳が後ろに付いているというような報告書の様式もあり得るのではないか と考えるがどうか。 

○  確かに読む側からいくと、始めにエグゼクティブサマリがある方が分かりやす いというのと同じ感覚だと思うので、その方が読みやすいと思う。 

○  賛成である。やはり最初に全体の総評というのがあり、読まれる人は、そこで 大体のものを頭の中に入れて、その後、細かい所を見るという形になる。また、

CIO の巻頭言も、やはり各省庁の取組を明らかにするということで非常に効果的な ものだと思う。CIO が巻頭言に書くということで、各省庁の現場は日常の情報セキ ュリティ対策の実施において、真剣な取組みを行う事となり、それが報告書発行 の大きな効果の一つと思う。その点で CIO の巻頭言が必要と思う。 

○  構成については全面的に賛成であり、一般国民も読みやすくなるほか、ホーム ページ等に更にコンパクトに載せることがあるのかもしれないので、そういう点 でも役に立つのではないかと思う。また、民間は、こういう報告書を出すときに は、責任者が写真を出すというのが最近当たり前になってきている。責任者の顔 を出すと悪いことができないとよく言われるが、企業の IR でも、責任者が顔を出 しているかどうかは一つのチェックポイントになっており、そのような点も考慮 して欲しい。 

→  今、それぞれの役所の中に、一部の役所を除いて監査組織というのはまずな い。会計監査とかはあるが、内部監査をやるということを専門とした部隊はな くて、統一基準の中でもセキュリティポリシーの実施状況について監査をしな さいと書かれており、これをきっかけに体制整備してもらえば良いとは思って いるが、実際はシステム部門がクロスチェックをするような形で被監査者と監 査者が同じにならないように監査しているのが現状。どこまで監査部分につい て書けるのかというのは、非常に難しい所があろうかと思う。ただ、いつまで もそうやっていてはいけないとは思っているので、こういう流れを通じてやっ ていきたいと思う。 

→  情報の範囲をどこまでするのかについては、元々、当センターの仕事の範囲 が情報セキュリティということで、IT 絡みの電子媒体とか、それに絡む所が中 心であることによる。ただし、役所の中を見ると、当然、個人情報の話や、情 報公開法の話など、情報周りに絡む話が非常に大きくなっており、我々もでき るだけ広く挙げていきたいと思う。ただし、現場の役所からすると、おそらく システム課とかと別に個人情報保護室や情報公開室など、色々な組織が分かれ

ており、連携をもちろんとっていると思うが、その辺の統一が現状できておら ずそういうのをどうするのかという非常に大きな話が絡んでくるため、個々の ガイドラインだけでは何ともしづらい部分がある。このため、情報セキュリテ ィ報告書をきっかけに役所の中での情報管理体制の在り方を望ましい姿、例え ば一つ職員向けのマニュアルに個人情報や情報公開などを含め、やるべきこと は何か書かれている、というふうにもっていきたいとは思うが、まだそこまで 到達できていないというもどかしさを事務局としては感じている。 

○  一点引っかかったのは、報道発表したものを対象とするというところ。確かに、

深堀りして報告をするというものは、そうなるのかもしれない。しかし、官公庁 の場合はしっかりされているのでそんなことないのかもしれないが、一般に小さ な事故というのはたくさんあり、パソコンをなくしたとか盗られたとか、USB をな くしたとか棚卸ししたらなかったとか、メール誤送信したとか、色々なことがあ るので、個々のものについては書かなくても良いのかもしれないが、統計的なも のが載せられたら良いという感じはした。やはり報道発表ということなので、そ こに一つのコントロールが乗っかるというのが一つ不安を持った。 

○  かなり書き込んでいるので、全体の流れとしては納得しているが、やはり、事 故の程度とか、ある程度のランク付けみたいなものをして分かりやすく発表する のもよいかもしれない。そうすれば、たくさん数が出ても、例えば ABCDE に分け て、E というのは影響の度合いは非常に軽微であるなどという工夫をして発表した ときに、国民から見て、事故は起きるという事故前提社会だということがはっき りすると思った。 

○  我々も報告書を作るときに検討しており、書く内容として、どういうふうな形 で事故を報告させているのかという概要を説明することはできるということで、

最初の報告書にはそれを出したところ。その後は、統計的な分析を行って、小さ い事故はたくさん起きているので、それに対して、片手で持てるものはなくすこ とが多いとか、言われてみれば当たり前だが、そういったことが統計的に出てき たので、それに対してこういう対策を考えているとか、対策を打たなければいけ ないと考えているとか、事故からの学習という形で、小さな事故に関しても拾い 上げて未然防止のために努力をしているという説明は報告書の中でできると思 う。 

○  今の話だと、インシデントをもう少しランク分けしなきゃいけない。しかし、

まだそこがあまり共通認識ないと思っている。そういう意味では基準を書くとい うのは、ある程度できるのかなと思っている。そうしなければ、誤解が生じてし まうと考えている。例えば簡単な話を挙げると、ウイルスチェックのツールで、

ウイルスに感染した数は分からず、プロテクションした数は分かる。その場合に、

プロテクションした数を報告すると、これは問題が起こってないのに、そんなに

一杯あったのか、と誤解される。そこの微妙な議論もあって、ある程度調整しな いとまずいと思っている。そういう意味で、公表というのは影響があるから公表 すると判断したのだと思うし、そういうのは少なくとも記載すべきと私も思う。

ただし、それ以下に関しては、変な誤解や、違う報告をすることもあると思うの で、もう少し議論を深めた方が良いと思う。 

［第２部に係る自由討議］ 

○  重点検査だとか、ベースラインの各システムの評価というのは、それぞれやっ ているので、それとの違いで報告書自体の定量的評価というのは、少しサンプル、

２、３年分報告書がたまらないと分からないのかなというのが正直な感想。あと、

モチベーションを高める評価としては、マネジメント評価が使える。 

○  定量的評価について、出された報告書に対して、その報告書の良し悪しの評価 なのか、あるいは報告書の中に書かれた情報セキュリティ対策に対する色んな行 動行為、それに対する評価までをするのかを、最初に確認したい。 

  それから、こういうことが抜けているとか、ここはもっと書くべきだとかいう報 告書の形式的な評価なのか、あるいは報告書で報告をしているレベルとか、そう いう内容まで踏み込んだ評価までなのかを明確にする必要がある。 

    それから、どのように定量化するのかということで、点数で評価するのか、あ るいは合格・不合格だとか、あるいはアメリカの FISMA でやっているような ABC のランク付けなのかを明らかにする必要がある。 

    それから誰が評価するのかという評価主体を検討する必要がある。自分で評価 をするのか、あるいは NISC がやるのか、あるいは委員会なのか、今日の資料の中 には情報セキュリティアドバイザーというのがあったが、誰が評価するのか。 

    それから評価された各省庁との合意があるのか、一方的にするのか。定量的評 価をした後に、それをどう生かしていくのか。短期間にもう一回書き直せないの か、こういう点を来年は注意してくださいというふうに生かしていくのか、とい うあたりが検討のポイントかと思う。 

→  事務局としては、資料４に示すように、各省庁が情報セキュリティ報告書を 作るために基礎となる資料を集め、その中で評価の対象となる資料を決めてい くということを考えており、報告書そのものというよりは、各省庁が報告書を 作るための裏付け資料を集めるので、その資料を基に定量的なデータに基づく 評価するというのが、まず一案として考えているところ。 

○  各省庁が出された報告書そのものを評価対象とするということは必ずしも考え ていないということか。 

→  元々定量的評価と言っているのは、各省がセキュリティ対策をしっかりやっ ていると言うときに、口だけで言うのではなくて、どういう根拠でしっかりや

っていると言えるのかを、何らかの客観的なデータがあるはずと考え、定量的 というか客観的という言葉が良いのかもしれないが、そういう形で評価ができ るのではないかと事務局として考えたもの。 

  ただ資料４でも「データに基づかない評価は考えないのか」と下に書かれてい るが、いわゆる作文の点数をつけるように、よくできました、努力しましょう、

がんばりましょう、というふうにやるのか、そのときはどういう視点でやるの かというのは、ちょっとまだ事務局でもイメージはつかみかねているところ。 

    そういう意味で、ベースになっている何らかの客観的指標に基づいて、各省 におけるセキュリティ対策の水準が明らかになるような評価の仕方というもの を用意をしておいて、それについて基本的にデータの評価の手法、こういう点 で見てここは良いかどうかというのを決めてあれば、事務局の方でそれに基づ いて評価をしていく、何％以上だったら A にするとか、そういうのが決めてあ れば、それに単純に当てはめて評価をしていくというイメージを考えている。 

○  誰がどう評価する、これは NISC が評価するということだが、被評価部門との関 係は何か具体的に考えているか。 

→  客観的手法が決まればそれに基づいて NISC が評価をする。一方的というとち ょっと語弊があるが、これまでの重点検査のように、間違いないか質問して確 認をするやり方で行うものと今のところは思っている。 

○  各省庁がマネジメント調査、自己点検等で入手したある種客観的な情報から評 価をするというような枠組みで考えた場合に、どういう項目をどういうような枠 組みで評価をするのが良いのかというのが、これからのテーマになろうかと思う。 

○  当社では、対策実施状況報告のような自分でチェックをするようなリストを作 っている。大体カバレッジとしては ISO27000 の各フィールドをほぼカバーしたよ うなリスト、約 80 項目くらいあるが、それを全課長職、組織責任者が自分でチェ ックし、それで点数付けをやっている。統一的に何か数字で評価するということ であれば、統一的な調査票で数字を出してやっていくというのが一つなのかと思 う。 

    ただ、そうすると、統一の同じリストを作って、同じようにやってもらうとい うことになるので、横並びの評価はしやすいが、自主的に各省庁が自分のことと してやっていくというところとの整合性をどう考えるかという問題は残ると思 う。 

○  セキュリティ報告書の機能として２つあると思っている。一つは、分かりやす さ、国民とのコミュニケーションツールとしてうまく機能しているのか。サステ ナビリティ報告書とか、CSR 報告書とか、たくさん公開されていて、色々な評価み たいなものも見てきたが、結構、その辺が評価のポイントとしてカウントされて

いる。分かりやすく書かれているかというのが代表な事項である。そういった横 並びの見方というのは、いくつかの項目でできるかもしれない。 

    もう一つ、セキュリティレベルの話で、創意工夫を引き出すというのが、デー タに基づかない評価として考えられる。創意工夫をして、それがヨコ展開できる ということが大事だと思う。そういった意味では、他省庁から参考になったとい うポイントが高いと高く評価されるというのも、そんなに定量的ではないが、創 意工夫を更に「また次の年ももっと良いものを」という形で展開させるのに、効 果を発揮するのかと思う。 

○  対策実施状況、重点検査、マネジメント評価、これらはある程度定量的にやっ ていると思っている。例えば、今、自己点検結果、重点検査結果、マネジメント 評価は、それぞれのタイミングで出しているが、それを省庁ごとにタテにまとめ て評価していない。この３つを通してどうまとめるか。それを全体的に評価する というのも定量的評価になるのかなと思う。 

○  今までやっている評価の中には、これからどうやりますというのは、あまり表 立って評価していないと思うので、今後どうしますというところの評価、それこ そ報告書の中で書かれることを評価するのかもしれないが、これは定量的になる かどうかは分からないが、評価対象となると思っている。 

○  NISC の評価対象、評価する中身というのは、大きく分けると、セキュリティ対 策をどの程度努力しているか、成熟度がどれだけ上がっているか、ベストプラク ティスになっているとか、つまり努力の程度みたいなものと、その結果得られた リスク低減効果というか、どれだけ安全になったかというようなもの、この大き な２つが評価の項目になるのだろう。そういう意味では、プロセスというのでど ういう点を押さえるのか、例えば成熟度でいくのか、努力の度合いでいくのか、

カバー率でいくのか、色々ある。それから、その結果としてどれくらい目標とす るリスク低減、安全確保がどの程度できたのかというような、これは先ほどで言 うと、事故とか事件等の発生なんかもその中におそらくその範疇に入るのだろう。 

○  自分が決めた今年度の目標みたいなものをどれぐらい達成したかというのも一 つあり、今年度の重点事項とかその辺と関連がついてくる。自己点検もそうかも しれない。ベースライン達成と、またちょっと別の見方なのだと思うが、自分が 決めたことに対してどれぐらい達成したかというのが一つあり得るかなと思う。 

  (4) 今後の予定等について      ○  事務局より説明