資料5
企業・個人の情報セキュリティの在り方 企業・個人の情報セキュリティの在り方
ー ー 企業・個人評価指標専門委員会の出発点 企業・個人評価指標専門委員会の出発点 ー ー
平成18年8月3日
内閣官房情報セキュリティセンター(
NISC
)1
1. 1 . 問題意識(その1) 問題意識(その1)
¾
第1次情報セキュリティ基本計画(2006年2月2日・情報セキュリティ政策会議決定)→ 2009年度初めまでに政府が情報セキュリティ政策として行うべき方向性をまとめたもの。
¾
セキュア・ジャパン2006(2006年6月15日・情報セキュリティ政策会議決定)→ 2006年度に政府が情報セキュリティ対策として具体的に行うべき施策をまとめたもの。
¾第1次情報セキュリティ基本計画 ¾
第1次情報セキュリティ基本計画(2006年2月2日・情報セキュリティ政策会議決定)(2006年2月2日・情報セキュリティ政策会議決定)→ 2009年度初めまでに政府が情報セキュリティ政策として行うべき方向性をまとめたもの。
¾セキュア・ジャパン2006 ¾
セキュア・ジャパン2006(2006年6月15日・情報セキュリティ政策会議決定)(2006年6月15日・情報セキュリティ政策会議決定)→ 2006年度に政府が情報セキュリティ対策として具体的に行うべき施策をまとめたもの。
¾
セキュア・ジャパン2007を策定するまでに、これらの問題点を解決することが必要。¾
2009年度初めまでの目標とする「セキュア・ジャパンの姿」を策定すべき。¾
到達度を測定する、「評価指標」を策定すべき。¾ ¾
セキュア・ジャパン2007を策定するまでに、これらの問題点を解決することが必要。セキュア・ジャパン2007を策定するまでに、これらの問題点を解決することが必要。¾
2009年度初めまでの目標とする「セキュア・ジャパンの姿」を策定すべき。¾
到達度を測定する、「評価指標」を策定すべき。¾
以下のような問題点がある。¾
2009年度初めまでに何を達成すべきかが具体的にはっきりしない。¾
2009年度初めまでの到達度を測定するものがない。¾
以下のような問題点がある。¾
2009年度初めまでに何を達成すべきかが具体的にはっきりしない。¾
2009年度初めまでの到達度を測定するものがない。2
1. 1 . 問題意識(その2) 問題意識(その2)
¾
「セキュア・ジャパンの姿」と「評価指標」により、我が国全体の情報セキュリティのレ ベルを把握し、適切な政策・施策を適宜講じていくことができ、情報セキュリティのレ ベルを確実に向上させ、世界最先端の情報セキュリティ国家となることが可能になる。¾「セキュア・ジャパンの姿」と「評価指標」により、我が国全体の情報セキュリティのレ ¾
「セキュア・ジャパンの姿」と「評価指標」により、我が国全体の情報セキュリティのレ ベルを把握し、適切な政策・施策を適宜講じていくことができ、情報セキュリティのレ ベルを把握し、適切な政策・施策を適宜講じていくことができ、情報セキュリティのレ ベルを確実に向上させ、世界最先端の情報セキュリティ国家となることが可能になる。ベルを確実に向上させ、世界最先端の情報セキュリティ国家となることが可能になる。
(参考)「セキュア・ジャパン2006」における関連する施策
第4章 政策の推進体制と持続的改善 第3節 持続的改善の構築 (3)評価指標の確立
【具体的施策】
情報セキュリティ対策に関する評価指標の確立(内閣官房、総務省及び経済産業省)
基本計画(セキュア・ジャパンの実現)の実現に向けた道筋を可視化する視点に立ち、各対策実 施領域(政府機関、地方公共団体、重要インフラ、企業、個人等)における情報セキュリティ対策 の浸透の度合いを評価することができる指標を検討するための体制を2006年度のできる限り早 期に設置し、2006年度中に的確な評価指標を確立した上で、これらの指標の政府内及び国際 機関等における活用を推進する。
なお、当該評価指標の確立に資するため、独立行政法人情報処理推進機構による「国家情報 セキュリティ水準評価指標(仮称)」の策定を促進するほか、「情報通信インフラのセキュリティ水 準評価指標(仮称)」の策定について検討する。
(参考)「セキュア・ジャパン2006」における関連する施策
(参考)「セキュア・ジャパン2006」における関連する施策
第4章 政策の推進体制と持続的改善 第3節 持続的改善の構築 (3)評価指標の確立
【具体的施策】
情報セキュリティ対策に関する評価指標の確立(内閣官房、総務省及び経済産業省)
基本計画(セキュア・ジャパンの実現)の実現に向けた道筋を可視化する視点に立ち、各対策実 施領域(政府機関、地方公共団体、重要インフラ、企業、個人等)における情報セキュリティ対策 の浸透の度合いを評価することができる指標を検討するための体制を2006年度のできる限り早 期に設置し、2006年度中に的確な評価指標を確立した上で、これらの指標の政府内及び国際 機関等における活用を推進する。
なお、当該評価指標の確立に資するため、独立行政法人情報処理推進機構による「国家情報 セキュリティ水準評価指標(仮称)」の策定を促進するほか、「情報通信インフラのセキュリティ水 準評価指標(仮称)」の策定について検討する。
3
「セキュア・ジャパンの姿」と「評価指標」のイメージ図
個人PCからの情報流出が減少する サイバー犯罪発生が半減する
経済大国日本の 持続的発展と ITの利用・活用
よりよい国民生活 の実現と
ITの利用・活用
我が国の安全保障 におけるITに起因 する新たな脅威へ の対応
﹁ セ キ ュ ア
・ ジ ャ パ ン
﹂
情報セキュリティ先進国
ITを社会インフラとして他国 以上に一層有効に使いこな し、我が国の経済活動の 持続的発展を遂げる
ITを重要な手段として利用・
活用し、我が国が直面する 社会問題を解決し、安全・
安心でよりよい国民生活を 実現する
ITの利用・活用の拡大に よって発生している新たな 脅威に十分対応していける よう、我が国の安全保障 を確保する
国家目標
政府機関
重要インフラ
企 業
個 人
政府機関統一基準のレベルを 世界最高水準のものとし、全て の政府機関において、同基準 が求める水準の対策を実施
2009年度初めに おける目標
重要インフラにおけるIT障害 の発生を限りなくゼロにする
企業における情報セキュリティ 対策の実施状況を世界トップ クラスの水準にする
「IT利用に不安を感じる」
とする個人を限りなくゼロ にする
個人が不安なくPCを利用している 企業からの情報流出事故が減少する 中小企業も取引先から対策を要請される
大企業が社会的責任として高い水準で対策 を実施
横断的な研究的演習の実施 相互依存性解析の試行的実施 情報共有体制の整備
電子政府における府省共通情報セキュリティ プラットフォームを実現
政府機関の緊急対応能力を強化 政府全体でのPDCAサイクルを確立 世界最高水準の対策を実施
(イメージ例)
行動計画の着実な 推進
(重要インフラ分野 における安全基準 の策定状況及び CEPTOARの整備 状況等)
4
評価指標(数値目標等)
具体的な目標群(イメージ例)
(「セキュア・ジャパンの姿」)
目指すべき 国家像
(イメージ例)
・大企業における ISMS取得率
・中小企業における ISMS取得率
(イメージ例)
・個人PCにおける ウィルス対策ソフト 導入率
・サイバー犯罪の 年間相談件数
(イメージ例)
(イメージ例)
安全基準等の策定・見直し
(イメージ例)
・各府省庁の対策の 実施状況
・独立行政法人の情 報セキュリティポリ シー策定状況
(イメージ例)
(イメージ例)
参 考
「第1次情報セキュリティ基本計画」において既に整理
2. 2 . 企業・個人評価指標専門委員会の任務 企業・個人評価指標専門委員会の任務
設置規程(平成18年7月25日情報セキュリティ政策会議決定)
設置規程(平成18年7月25日情報セキュリティ政策会議決定)
¾ …情報セキュリティ政策会議(以下「政策会議」という。)における情報セキュリティ問題全体を
俯瞰した我が国としての中長期的な基本戦略に関する当面の審議の充実に資するため、政策 会議に特性の事項の調査検討を行う専門委員会として、企業・個人評価指標専門委員会を置 く。¾
企業・個人評価指標専門委員会は、企業及び個人の対策実施領域における情報セキュリティ 対策の評価指標に係る事項について調査検討を行う。→ 本年12月に政策会議で決定(報告)される予定の我が国の情報セキュリティ対策の評価 指標のうち、企業及び個人の対策実施領域における評価指標に係る事項に関して、調査検討 すること。
¾ …情報セキュリティ政策会議(以下「政策会議」という。)における情報セキュリティ問題全体を
俯瞰した我が国としての中長期的な基本戦略に関する当面の審議の充実に資するため、政策 会議に特性の事項の調査検討を行う専門委員会として、企業・個人評価指標専門委員会を置 く。¾
企業・個人評価指標専門委員会は、企業及び個人の対策実施領域における情報セキュリティ 対策の評価指標に係る事項について調査検討を行う。→→ 本年12月に政策会議で決定(報告)される予定の我が国の情報セキュリティ対策の評価本年12月に政策会議で決定(報告)される予定の我が国の情報セキュリティ対策の評価 指標のうち、企業及び個人の対策実施領域における評価指標に係る事項に関して、調査検討 指標のうち、企業及び個人の対策実施領域における評価指標に係る事項に関して、調査検討 すること。
すること。
5
※ 本資料では、「企業」「個人」について、情報セキュリティ対策上の観点から次のように位置付 けている。
¾
「企業」:インターネットを始めとするITを利用する、組織としての立場の主体¾
「個人」:インターネットを始めとするITを利用する、私人としての立場の主体※ 本資料では、「企業」「個人」について、情報セキュリティ対策上の観点から次のように位置付 けている。
¾
「企業」:インターネットを始めとするITを利用する、組織としての立場の主体¾
「個人」:インターネットを始めとするITを利用する、私人としての立場の主体3. 3 . 企業・個人評価指標専門委員会の検討の射程 企業・個人評価指標専門委員会の検討の射程
6
¾
企業・個人の特性¾
母数が巨大(個人では、日本のインターネット利用者人口8500万人、人口比67%)¾
政府機関・重要インフラに比べると政府の関与が間接的¾
情報セキュリティ事件・事故の被害を受けやすい¾
市場原理の影響やそもそもの関心の低さにより対策が遅れがちな主体が存在する¾
セキュリティ対策の実態や被害が把握しにくい→ これらの特性を踏まえつつ、情報セキュリティ政策を行うべき。
¾企業・個人 ¾
企業・個人の特性の特性¾
母数が巨大(個人では、日本のインターネット利用者人口8500万人、人口比67%)¾
政府機関・重要インフラに比べると政府の関与が間接的¾
情報セキュリティ事件・事故の被害を受けやすい¾
市場原理の影響やそもそもの関心の低さにより対策が遅れがちな主体が存在する¾
セキュリティ対策の実態や被害が把握しにくい→ これらの特性を踏まえつつ、情報セキュリティ政策を行うべき。
¾
当委員会では、以下のような点につき、検討する。¾
「セキュア・ジャパンの姿」のうち企業・個人に係る部分の検討¾
「セキュア・ジャパンの姿」のうち企業・個人に係る部分と政府の具体的施策の整理¾
「セキュア・ジャパンの姿」のうち企業・個人に係る部分と関連する評価指標の選定¾ ¾
当委員会では、以下のような点につき、検討する。当委員会では、以下のような点につき、検討する。¾
「セキュア・ジャパンの姿」のうち企業・個人に係る部分の検討¾
「セキュア・ジャパンの姿」のうち企業・個人に係る部分と政府の具体的施策の整理¾
「セキュア・ジャパンの姿」のうち企業・個人に係る部分と関連する評価指標の選定4. 4 . 企業・個人評価指標専門委員会の進め方(案) 企業・個人評価指標専門委員会の進め方(案)
第1回 8月3日 (14時〜16時)
○ セキュア・ジャパンの姿(企業・個人関係)の検討
第1回 8月3日 (14時〜16時)
○ セキュア・ジャパンの姿(企業・個人関係)の検討
第2回 9月上旬 (2時間)
○ セキュア・ジャパンの姿(企業・個人関係)の検討②+現行の施策との関係整理
第2回 9月上旬 (2時間)
○ セキュア・ジャパンの姿(企業・個人関係)の検討②+現行の施策との関係整理
第3回 9月下旬 (2時間)
○ 評価指標の検討①
第3回 9月下旬 (2時間)
○ 評価指標の検討①
第4回 10月上旬 (2時間)
○ 評価指標の検討②
第4回 10月上旬 (2時間)
○ 評価指標の検討②
※10月下旬〜 情報セキュリティ政策会議(予定)
※ スケジュール次第で、第3回と第4回の間に予備会合を開催することも検討する。
7
参 考
セキュリティ文化専門委員会報告書(平成17年11月17日)の全体像
8
現状認識
背景:ITの普及状況、企業・個人の情報セキュリティ対策の必要性、対策推進上の課題
進むべき方向:「何のために情報セキュリティ対策を行うのか」という点についての共通認識を形成することが必要
問題の所在
個人
z「当たり前のこと」であることが認
_識できる環境にない
zITのわかりにくさと個人の「自己
_責任」の限界
メディア
z問題の本質についてわかりやす
_い情報を、報道に的確かつ幅広
_く提供する環境が不足
基盤形成
z各主体の責任・役割等の位置づけ zサイバー犯罪等
z急速に変化するサイバー空間の情
_勢への対応
企業
z情報セキュリティ対策と市場評
_価の非直結
z情報セキュリティ人材の不足等
解決の方向性と具体的方策
個人
z「当たり前のこと」であることが認
_識できる環境の整備
・ 情報セキュリティ教育、広報啓発、
_情報発信の強化・推進
z個人が負担感なく情報関連製品
_等を利用できる環境整備
・ 情報セキュリティ・ユニバーサル _デザインを開発・供給する環境の
_整備 等
メディア
zメディアへの情報の提供
・ 情報セキュリティに関する一般情 _報を的確かつ幅広くメディアに提 _供する仕組みの構築
基盤形成
z法制度等の検討
・ 位置づけ明確化・普及促進のため _の法制度整備を含めた幅広い検討
等 z犯罪の取締り及び権利・利益の保
_護・救済
・ サイバー犯罪の取締り及び権利利 _益の保護・救済のための基盤整備
・ サイバー空間の安全性・信頼性を_ _向上させる技術の開発・普及
企業
z情報セキュリティ対策が市場評
_価に繋がる環境の整備
・ 政府調達への各種制度の活用
・ 企業の情報セキュリティリスク明 _確化に向けた取組み 等 z情報セキュリティ人材の確保・_
育成
・ 経営トップ等の理解の普及
・ 情報システム担当者への啓発 等
評価体制の確立 : 基盤の形成の度合を測る指標の策定、導入及び評価状況の公表の実施等について検討
5. 5 . セキュア・ジャパンの姿(企業・個人) セキュア・ジャパンの姿(企業・個人) ① ①
¾
2009年度初め、企業・個人は情報セキュリティについてどうあるべきか①¾
現状維持ではなく、かつ、空想的でもなく、妥当な姿とは何か。¾
意識面〜意識の上でどのようにあるべきか。ex.情報セキュリティがキチンと意識されている
¾
対策面〜対策として何を行っているべきか。ex.ウィルス対策ソフトをインストール・アップデートしている
¾
結果面〜外形的にどのように表れているべきか。ex.我が国全体の不正アクセスの被害が横ばい・減少となる
¾
情報セキュリティ上の問題(ex.情報流出)の解決の観点から考慮すべきことがあるか。¾
セキュリティと利便性の両立の観点(利用者の観点)から考慮すべきことがあるか。¾
企業について国際標準の観点から考慮すべきことがあるか。¾2009年度初め、企業・個人は情報セキュリティについてどうあるべきか ¾
2009年度初め、企業・個人は情報セキュリティについてどうあるべきか①①¾
現状維持ではなく、かつ、空想的でもなく、妥当な姿とは何か。¾
意識面〜意識の上でどのようにあるべきか。ex.情報セキュリティがキチンと意識されている
¾
対策面〜対策として何を行っているべきか。ex.ウィルス対策ソフトをインストール・アップデートしている
¾
結果面〜外形的にどのように表れているべきか。ex.我が国全体の不正アクセスの被害が横ばい・減少となる
¾
情報セキュリティ上の問題(ex.情報流出)の解決の観点から考慮すべきことがあるか。¾
セキュリティと利便性の両立の観点(利用者の観点)から考慮すべきことがあるか。¾
企業について国際標準の観点から考慮すべきことがあるか。9
5. 5 . セキュア・ジャパンの姿(企業・個人) セキュア・ジャパンの姿(企業・個人) ② ②
10
¾
2009年度初め、企業・個人は情報セキュリティについてどうあるべきか②¾
例えば、以下のような固まりごとに考えてはどうか。¾
企業 〜インターネットを始めとするITを利用する、組織としての立場の主体¾
高水準のセキュリティレベルが要求される企業ex. ITサービスを提供する企業、多量の個人情報を扱う企業
¾
相応の水準のセキュリティレベルが要求される企業ex.
情報システムを利用する等平均的な企業¾
情報セキュリティ対策が喫緊の課題でない企業ex.
情報システムを導入していない企業※ 事業構造上の脆弱性(事業の情報システム依存、業務の外部依存性、関与者の範囲)や社会的 影響力(自社の価値、社会的責任、情報資産)から要求される情報セキュリティの水準を分類
¾
個人 〜インターネットを始めとするITを利用する、私人としての立場の主体¾
家庭での個人¾
学校での個人¾
地域コミュニティその他のコミュニティでの個人¾ ¾
2009年度初め、企業・個人は情報セキュリティについてどうあるべきか②2009年度初め、企業・個人は情報セキュリティについてどうあるべきか②¾
例えば、以下のような固まりごとに考えてはどうか。¾
企業 〜インターネットを始めとするITを利用する、組織としての立場の主体¾
高水準のセキュリティレベルが要求される企業ex. ITサービスを提供する企業、多量の個人情報を扱う企業
¾
相応の水準のセキュリティレベルが要求される企業ex.
情報システムを利用する等平均的な企業¾
情報セキュリティ対策が喫緊の課題でない企業ex.
情報システムを導入していない企業※ 事業構造上の脆弱性(事業の情報システム依存、業務の外部依存性、関与者の範囲)や社会的 影響力(自社の価値、社会的責任、情報資産)から要求される情報セキュリティの水準を分類
