２００８年度の情報セキュリティ政策の評価等

(1)

２００８年度の情報セキュリティ政策の評価等

－「真の情報セキュリティ先進国」を目指す取組みの３年目の評価－

内閣官房情報セキュリティセンター（ＮＩＳＣ）

２００９年５月８日

(2)

i

目次はじめに

１．本文書の位置づけと基本認識

・・・・・・・・・・・・・・・・・・・１

２．本文書の構成・・・・・・・・・・・・・・・・・・・・・・・・・・１３．情報セキュリティ政策全体の評価等に係る検討の枠組みと手法・・・・・・２

第１章情報セキュリティ政策全体の評価等

第１節我が国における情報セキュリティに関する２００８年度の取組み

・・・・・・４

１．２００８年度の取組みの背景

２．２００８年度の取組み

第２節２００８年度の取組み及び取組みを受けた我が国の現状の評価等（２００８年度の評価等）

・・・・・・・・・・・・・・・・・・・・・・・・・・・・５

１．２００８年度の評価等に関する基本的考え方（評価等の視点）

２．評価等について（評価指標等）

３．評価等の結果と総評

（１）施策の取組み結果に関する評価等

（２）施策の取組みによる社会的変化に関する評価等

（３）総評

第３節第１次情報セキュリティ基本計画の３年間（２００６～２００８年度）

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・１２第４節２００９年度に向けた課題・・・・・・・・・・・・・・・・・・・１４

第２章政府機関における現状の評価等

第１節政府機関における情報セキュリティに関する２００８年度の取組み

・・・１５

第２節２００８年度の取組みを受けた政府機関における現状の評価等（２００８年度の評価等）

・・・・・・・・・・・・・・・・・・・・・・・・・・・・１５

１．２００８年度の評価等、及び評価等に関する基本的考え方（評価等の視点）

２．評価等の結果と総評

（２）補完調査

（３）総評

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・２０第４節２００９年度に向けた課題・・・・・・・・・・・・・・・・・・・・２１

(3)

第３章重要インフラにおける現状の評価等

第１節重要インフラにおける情報セキュリティに関する２００８年度の取組み

・・２２

第２節２００８年度の取組み及び取組みを受けた重要インフラにおける現状の評価等

（２００８年度の評価等）

・・・・・・・・・・・・・・・・・・・・・２３

２．２００８年度の評価等について（評価指標等）

（３）補完調査の結果について

（４）総評

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・３２第４節２００９年度に向けた課題

・・・・・・・・・・・・・・・・・・・３３

第４章企業・個人における現状の評価等

第１節企業・個人分野における情報セキュリティに関する２００８年度の取組み

・・・・・・・・・・・・・・・・・・・・・４３

（Ａ）企業

（Ｂ）個人

（Ａ）企業

（Ｂ）個人

第２節２００８年度の取組み及び取組みを受けた企業・個人分野における現状の評価等（２００８年度の評価等）

・・・・・・・・・・・・・・・・・・・・４７

（１）総論

（２）アウトプット指標

（３）アウトカム指標３．評価等の結果と総評

（Ａ）企業

（Ｂ）個人

(4)

iii

（Ａ）企業

（Ｂ）個人

（Ｃ）企業・個人共通

（３）補完調査の結果について

（４）総評

（Ａ）企業

（Ｂ）個人

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・７４第４節２００９年度に向けた課題

・・・・・・・・・・・・・・・・・・・７５

第５章横断的な情報セキュリティ基盤における現状の評価等

【情報セキュリティ技術戦略】

第１節２００８年度の取組み

・・・・・・・・・・・・・・・・・・・・・・７７

第２節２００８年度の取組み及び取組みを受けた現状の評価等（２００８年度の評価等）

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・７７

（３）総評

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・７９第４節２００９年度に向けた課題

・・・・・・・・・・・・・・・・・・・８０

【情報セキュリティ人材の育成・確保】

・・・・・・・・・・・・・・・・・・・・８２

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・８２

（２）施策の取組みによる社会的変改に関する評価等

(5)

（３）総評

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・８３第４節２００９年度に向けた課題

・・・・・・・・・・・・・・・・・・・８４

【国際連携・協調】

・・・・・・・・・・・・・・・・・・・・・８５

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・８７

（３）総評

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・８９第４節２００９年度に向けた課題

・・・・・・・・・・・・・・・・・・・９０

【犯罪の取締り及び権利利益保護・救済】

・・・・・・・・・・・・・・・・・・・・・９１

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・９１

（３）総評

の総評・・・・・・・・・・・・・・・・・・・・・・・・・・・・９３第４節２００９年度に向けた課題

・・・・・・・・・・・・・・・・・・・９３

(6)

1 はじめに

１．本文書の位置づけと基本認識

本文書は、２００６年度から始まった３年間を対象期間とする「第 1 次情報セキュリティ基本計画（以下「第１次基本計画」という。）

¹

」と、それに基づく２００８年度計画である

「セキュア・ジャパン２００８（以下「ＳＪ２００８」という。）

²

」によって進められている情報セキュリティ政策について、２００８年度の政策の評価等

³

及び第 1 次基本計画における３か年の取組みの達成度についての評価等について報告するものである。

我が国の情報セキュリティ政策の運用は、上述の第１次基本計画及び年度計画に基づくＰＤＣＡサイクル

⁴

の形で行うこととなっており、その詳細は、情報セキュリティ政策の枠組みについて記述した文書である「情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方」（以下「情報セキュリティ政策の枠組み文書」という。）など

⁵

により定められている。これらに基づき内閣官房情報セキュリティセンター（ National Information Security Center）（以下「ＮＩＳＣ」という。）は、評価指標にのっとったデータ等の情報を集め、評価等を行った。

本文書は、我が国情報セキュリティ政策のＰＤＣＡサイクルの運用において、２００８年度施策の点検段階（Ｃ）に該当するものであり、情報セキュリティ政策会議へ本文書の報告を行い、我が国の情報セキュリティに関する現状認識を明確にするとともに、第２次情報セキュリティ基本計画

⁶

（以下「第２次基本計画」という）の下に策定される、翌年度の年度計画である「セキュア・ジャパン２００９（以下「ＳＪ２００９」という。）」を検討するための有益な情報を含むものである。

また、２００８年度は２００６年度から始まった、第１次基本計画における最終年度であるため、特に、情報セキュリティの枠組み文書に記載されている「２００９年時の我が国社会の姿」（以下、「あるべき姿」という）の達成度についても、評価を実施する。

２．本文書の構成

本文書では、第１章においては情報セキュリティ政策全体、第２章においては政府機関、

第３章においては重要インフラ、第４章においては企業及び個人、第５章においては横断的な情報セキュリティ基盤

⁷

について現状の評価等を行う。各章の構成については、他の章と

1

２００６年２月２日情報セキュリティ政策会議決定

2

２００８年６月１９日情報セキュリティ政策会議決定

3

本書においては、情報セキュリティ政策会議決定文書（注５参照）、「１評価指標に基づく評価等のための作業方針」における定義に従い、「評価指標に基づく評価、補完調査及び分析等」を「評価等」と記す。

4

計画（Ｐｌａｎ）、実施（Ｄｏ）、点検（Ｃｈｅｃｋ）、改善処置（Ａｃｔ）の各段階を経て、改めて計画（Ｐｌａｎ）に戻る自律的な政策推進サイクル。

5

２００７年２月２日情報セキュリティ政策会議決定文書・了解文書（「「セキュア・ジャパン」の実現に向けた取組みの評価等及び合理性を持った持続的改善の推進について」［政策会議決定］及び「情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方～「セキュア・ジャパン」の実現に向けた情報セキュリティ政策のＰＤＣＡサイクル確立へ～」［政策会議了解］）

6

２００９年２月３日情報セキュリティ政策会議決定

7

情報セキュリティ技術戦略、情報セキュリティ人材の育成・確保、国際連携・協調、犯罪の取締り及び権

(7)

の比較を容易にするため、すべての章を通じてほぼ同じ柱立てとしており、各章ともに第１節では「２００８年度の取組み」、第２節では「２００８年度の取組み及び取組みを受けた現状の評価等（２００８年度の評価等）」、第３節では、「第１次基本計画３年間の評価」として、第１次基本計画の３年間が終了した時点における「あるべき姿」の達成状況について、

評価等を実施する。さらに、第４節では、評価等から抽出される「２００９年度に向けた課題」について述べる。そして、第２節の２００８年度の評価等においては、評価等の視点をはじめとする基本的考え方を述べた上で評価指標などを提示し、さらに、具体的な評価等を

「施策の取組み結果」、「施策の取組みによる社会的変化」及び「補完調査の結果」に関して加えた上で、総評を行う。

なお、第１章の情報セキュリティ政策全体の評価等は、上記の情報セキュリティ政策の枠組み文書において述べられているように、「様々な主体ごとの取組み結果の」「積み上げによってわが国総体として」「総合的かつ分析的に」行う。したがって、第１章の政策全体の評価等は、第２章以降の各章における政策領域ごとの評価等の総評を活用しながら行うこととなる。情報セキュリティ政策全体に関する具体的な分析の枠組みと手法については、以下に述べる。

３．情報セキュリティ政策全体の評価等に係る検討の枠組みと手法

情報セキュリティ政策全体の評価等は、定性的な検討部分と、定量的なデータを適宜組み合わせる形で行う。具体的には、象徴的な事象等がある場合、これに着目してそれらが示唆するものを抽出し、適宜これに即したデータを組み合わせて評価等を行う。

検討の手順は、上述のように各政策領域

⁸

の評価等から始め、これらを積み上げた上で政策全体としての評価等を進める。したがって、まず第１次基本計画及びＳＪ２００８で設定されている政策領域について、各々の領域全体としての評価等を行う。ただし、各々の政策領域の評価等は、第２章以下の各論の中で領域ごとの評価等及び総評においてまとめられることから、これらを活用する。

こうした政策領域をまず念頭に置き、これに組み合わせて各々の政策領域に係る社会の状況などについても検討するために、社会情勢、政府の取組み実績（施策の取組み評価等）を意識する。そして、前者を横軸として捉え、後者を縦軸に捉えて全体を見た上で、縦軸の領域についても個々の領域全体として評価等を行う(図 1)。

社会情勢は、非常に広範な要素を含むことから、検討に当たって、

１）社会環境などに作用を行う主体として「人的要素（人、意識、体制・制度）」

利利益保護・救済の４分野が含まれる。

8

ここで各々の政策領域とは、「対策実施４領域」である政府機関・地方公共団体、重要インフラ、企業、及び個人、そして「横断的な情報セキュリティ基盤」である情報セキュリティ技術戦略の推進、情報セキュリティ人材の育成・確保、国際連携・協調の推進、犯罪の取締り及び権利利益の保護・救済のことである。

(8)

3

２）社会環境などに作用を行う際の媒介物や、作用を行った結果生み出されるものとして「物的要素（投資、技術、ハード、ソフト、ネットワーク）」

３）実際に作用を受ける社会環境などとして「周辺情勢（インシデント・事件、市場など）」

に分類を行い、また、可能な限り数値やデータを加味し、幅広い視点から各々について評価等を行うこととする。その上で、それらを積み上げる形で情報セキュリティ政策全体について評価等を行うこととする。

図１：２００８年度の情報セキュリティ政策の評価等に係る検討の枠組み

また、本文書は、第１次基本計画における３か年の取組みの最終年度として、２００９年当初における我が国の情報セキュリティに係る社会情勢等を把握し、あるべき姿に照らしてその到達度について評価等を行う。

(9)

第１章情報セキュリティ政策全体の評価等

第１節我が国における情報セキュリティに関する２００８年度の取組み１．２００８年度の取組みの背景

我が国の国民生活及び社会経済活動においてＩＴへの依存度が高まる中、ＩＴの利活用における安心・安全を確保するため、情報セキュリティは重要な課題となっている。

このような状況を踏まえ、２００６年度から２００８年度の３年間を対象期間とする基本計画の下、２００７年度にはセキュア・ジャパン２００７（以下「ＳＪ２００７」という。）が策定され、第１次基本計画における２年度目の取組みが行われた。結果、２００７年度末には、

１）各主体における情報セキュリティの意識の維持・強化２）対策実施領域ごとの具体的取組みの着実な推進

３）横断的な情報セキュリティ基盤分野における具体的取組みの着実な推進４）情報セキュリティ推進体制の維持・強化と持続的改善構造に基づく政策運営

の推進

という取組みの成果が見られた。

２００８年度の取組みは、２００８年度の対策で対応できるものは実施を行うとともに、１）長期的な視点に立った抜本的な対策を、第２次基本計画においても本格的に進められるように検討を行う必要があることや、また、対策実施主体による対策の推進と強固な情報セキュリティ基盤があいまって、我が国が真の情報セキュリティ先進国と言えることから、２）情報セキュリティ基盤の強化に向けて集中的に取組みを行うことが必要であり、更には、政策の社会的効果（アウトカム）の出現に向けて、政策の実現可能性や方向性に問題があるような場合は、３）引き続きＰＤＣＡサイクルにのっとって、

対策の底上げを行うべきである、といった認識の下になされたものである。

２００８年度の取組みは、第１次基本計画の下での最終年度の取組みとして、２００６年度、２００７年度の取組み及び評価を踏まえつつ、年度計画であるＳＪ２００８を策定し、情報セキュリティ対策の政府の重点施策を定めた。

ＳＪ２００８では、「情報セキュリティ基盤の強化に向けた集中的な取組み」を目標に、（１）官民各主体の共通認識の維持・向上を引き続き図り、（２）先進的技術の追求を通じて現行技術水準の限界点を少しでも超えられるように努力し、（３）ＧＳＯＣ

⁹

に関する取組みなど、公的部門の対応力の強化を引き続き図り、（４）国内外の様々な主体の連携・協調の強化によるアウトプットの強化を図るという形で、対策実施主体が施

9

Government Security Operation Coordination Teamの略。横断的な情報収集、攻撃等の分析・解析、各政府機関への助言、各政府機関の相互連携促進及び情報共有を図るための体制。

(10)

5

策の取組みを進めた。

具体的には、２００６年度、２００７年度に引き続き、「対策実施４領域」、「横断的な情報セキュリティ基盤」、「政策の推進体制と持続的改善の構造（政策の推進体制の強化、他の関係機関等との連携、持続的改善構造の構築）」という基本計画の柱立てに基づいて具体的な施策を実施することとし、内閣官房を含む各府省庁が計１５７の取組みを行うこととなった。

また、ＳＪ２００８では、「持続的な情報セキュリティ基盤の強化に向けた集中的な取組み」という２００９年度の重点施策の方向性が設定され、「政府機関における持続的な情報セキュリティ対策の推進体制の構築に向けた基盤整備」、「各対策実施領域における持続的な情報セキュリティ対策の推進体制の構築に向けた基盤整備」として、計２２の具体的施策が盛り込まれた。

２００８年度は、このようにＳＪ２００８に沿った形で、基本計画の下での最終年度の取組みがなされた状況である。

第２節２００８年度の取組み及び取組みを受けた我が国の現状の評価等（２００８年度の評価等）

情報セキュリティ政策全体に係る２００８年度の評価等は、以下の３つの視点に基づいて行うこととする。すなわち、

１）第１次基本計画に基づく政策体系の下での３年目の取組みが実効的に進められ、

結果、ＳＪ２００８に記載された当初の目標（とりわけ、２００８年度の重点である「情報セキュリティ基盤の強化に向けた集中的な取組み」）が実現できたか否かを測るという視点

２）２００８年度の取組み開始時のリスクが、１年間の取組みによってどう変化したのかなど、情報セキュリティに係る２００８年度の様々な動向を測る視点

３）第２次基本計画の初年度たる２００９年度の取組みにおいて、対応が必要な具体的課題を浮き彫りにするという視点

である。

２００８年度の情報セキュリティ政策全体の評価等は、情報セキュリティ政策の枠組み文書第５章第２節を踏まえ、各論で行う政策領域ごとの評価等の積み上げによって行う。また、こうした政策領域ごとの評価等に加えて、社会情勢についても評価等を行った上で、これらも合わせて積み上げることで全体としての評価等を行うが、特定の評価指標は２００８年度では設けていない。

(11)

なお、このような評価等の手順については、「はじめに」において述べた検討の枠組み及び手順に基づくこととする。

第１次基本計画３年間の評価においては、２００９年時点における、取組み状況や社会情勢、関係する指標等を、２００６年度に想定した「あるべき姿」に照らし合わせた上で、総合的な判断により、評価を実施する。

ＳＪ２００８において、２００８年度中に推進するとされた１５７の具体的施策の取組み結果については、２００８年度の評価等では以下のとおり分類され、評価がなされた。

Ａ：１４０施策(８９．２％、内Ａ’は３施策) Ｂ+：５施策(３．２％)

Ｂ：１１施策(７．０％) Ｃ：０施策(０．０％)

－：１施策(０．６％)

＜分類＞

Ａ：当初の予定どおり施策を推進することが出来た施策。

なお、施策は推進できたが、体制や人員に関して問題が存在するため、今後、

継続して施策を推進するためにそれらの解決が必要であるということが、当該施策に関連した作業の進捗や担当へのヒアリング等から明白になった施策については「’」を付した。

Ｂ+：年度内には完了していないが、着実に取組みを進めており、数ヶ月以内には完了する施策。

Ｂ：予定どおり施策を推進することは出来なかったが、今後も取組みを続けることにより、最終的には施策を推進することが出来る施策。

Ｃ：予定どおり施策を推進することはできず、今後の見通しも立たない施策。

－：予定どおり施策を推進することが出来なかったが、その理由が政府機関の事情によるものではない施策。

ＳＪ２００８において、２００８年度中に推進するとされた施策については、各府省庁において着手がなされ、約９割の施策について当初の予定どおり施策を推進した。残り１割（１６施策）の予定どおり推進できなかった施策については、「電子政府認証ガイドライン（仮称）」の策定など、数ヶ月以内には完了するＢ＋の５施策の他、刑事共助条約の締結等施策を推進したものの２００８年度中に完了できなかったものなど今後も取組みが必要なＢ評価のものが１１施策、刑法の改正等、政府機関の事情以外の理由により推進できなかったものが１施策であった。

(12)

7

Ａとされた１３７の施策は、関係各府省庁の担当者の努力により予定通り推進することができたものの、Ａ’の３施策については、「各政府機関でのＰＤＣＡサイクルの定着」、「政府全体でのＰＤＣＡサイクルの定着」、「情報通信構成要素の安全性検証技術の高度化に関する研究開発」と、政府機関の対策実施に係る取組み及び技術戦略の推進に係る取組みとなっている。このうち、政府機関の対策については、推進の努力が続けられたものの、体制や人員の不足が課題であることがうかがえる。

Ｂ、Ｂ+、Ａ’と評価された施策のみならず、Ａと評価された施策の中にも今後引き続き取組みを実施することが求められるものも存在している。このような施策については、第２次基本計画において継続的な取組みや発展的な取組みが求められる。

施策の取組みによる社会的変化に関しては、第２節２．（１）の分類にのっとり、政策領域や社会情勢の各領域についてそれぞれ総体として評価等を行う。ただし、個々の政策領域は第２章以降の各論において評価等を行うこととする。

( a ) 人的側面（人材、意識、体制・制度）

（ア）人材面

人材面に関しては、情報セキュリティ人材を育成するための環境の整備については、

官民双方から着々と進められている。

反面、情報セキュリティに携わる人材がキャリアパスを明確に描くことが難しい、政府における人材が不足している等の指摘がなされるなど、情報セキュリティ人材が十分に政府・企業に供給され、活用される段階には到達していない。

人材育成・確保についてはその特性上、対策を実施してから成果が現れるまでには数年単位での時間を要することから、成果が社会で観測できるようになるまで、なお時間を要する。人材育成・確保については、状況の変化や社会のニーズをくみ取りつつ、継続的な取組みを行うことが求められる。

（イ）意識面

２００８年度の状況を見ると、対策が進みつつあり、不安は減少傾向にあるものの、

依然としてインターネットの利用に対する不安は大きい。反面、そうした不安感を持つことの裏返しとしての行動や、情報漏えい等がマスコミで報道されていること、ＳＪ２００６、ＳＪ２００７により今までに取り組んできた対策の成果等が要因となって、情報セキュリティ対策の対策実施状況が向上している。このことから読み取れるように、

情報セキュリティに関する脅威の認識は徐々に向上していると評価できる。

政府機関においては、ＰＤＣＡサイクルが構築され、結果として情報セキュリティに対する意識が高まる素地はできてきているものの、

ＰＤＣＡサイクルの運用が真に自発的な

ものになっていないなど、情報セキュリティ意識の向上に向けて、更なる対策が必要となる余地がある。

(13)

重要インフラ分野においては、官民が連携した取組みの枠組みや体制が構築され、情報共有に係る意識も醸成されつつあると言える。今後、よりいっそう意識が高まり、事業者の自主的な取組みとして情報共有が進むように、努力を継続することが必要であると考えられる。

企業分野では、情報セキュリティポリシー策定の動きが進んでいることや、ＢＣＰ（事業継続計画）策定が進んできていることなど、情報セキュリティに対する意識は着実に高まりを見せていると言える。また、情報漏えいが依然として減少傾向を見せず、ビジネスに影響するシステム障害も発生し、そうした事実が報道されていることなども、意識の高まりの一因になっているとも考えられる。

そうした動きの反面、情報セキュリティ対策を実施しても市場で評価されないとする意見も依然として多い一方、情報セキュリティ対策の実施を取引先の要件として求める企業の割合は増加し、情報セキュリティ対策実施により顧客・取引先からの評価が向上したという意見が増えつつある。こうしたことから、今後企業における情報セキュリティ意識の高まりは予測されるものの、情報セキュリティ対策が市場評価につながる環境の整備、情報セキュリティ対策が経営の一環として当然行われるものとする認識が求められる。

個人分野では、ＳＪ２００８の下で情報セキュリティに関する普及啓発・情報発信を行うことを重点に各種取組みが積極的に推進された。

しかしながら、インターネットの利用に「不安を感じている」とする割合が１７．５％、

「セキュリティ脅威への対策を行っているが、不十分であり、少し不安を感じている」

とする割合が３０．０％（平成２０年度通信利用動向調査：総務省）になるなど、不安感を払拭するには至っていない。また、新たな脅威が発生する状況は続いているが、個人における新たな脅威への認識・認知は依然として進んでいない状況にある。

また、全体の傾向として、対策が進んでいるにもかかわらず、年代の違い等によって対策実施に関する意識が低い属性も存在する。

こうしたことから、個人分野においては、取組みを継続しつつも、既存の普及啓発・

情報発信が届きにくい層の個人に対して効果を持つ対策が検討されるべき時期にさしかかっていると言える。

国際的には、途上国においてもセキュリティ意識の向上が見られるようになってきており、進んだ取組みを行っている我が国に対して、更なる情報発信・貢献が求められるようになってきていることに注意が必要である。

(14)

9

（ウ）体制面

体制面については、これまでの検討が具体的な対策として実施され始めた一年であった。

政府機関については、ＰＤＣＡサイクルの構築や、情報セキュリティ政策を担当する職員に向けた教育における講義内容の改善といった、情報セキュリティ管理・運用体制の強化に向けた取組みが実施された。

反面、各政府機関の情報セキュリティ対策実施体制に関しては、リソース・スキルが不足しているという声が聞かれるなど、体制面での課題は依然として存在している。従って、今後も政府機関における体制の整備に向けた取組みは引き続き望まれる。

重要インフラについては、以前より検討が進められていた、重要インフラにおける分野横断的な情報共有を目的とした「セプターカウンシル」が設立され、活動を開始した。

また、官民連携による分野横断的な演習も、２００６年度、２００７年度に続く第３回目が実施されており、官民の各主体間における情報共有、連絡・連係を進めるための基盤整備の具体化が進んでいると言える。

また、国際連携の観点からも、日・ＡＳＥＡＮ間における情報セキュリティ政策会議の創設や、日米サイバーセキュリティ二国間会合の定期化等、連携強化のための枠組みが具体化されている。

( b ) 物的側面（投資、技術、ハード、ソフト、ネットワーク）

物的側面については、着実に対策が進められており、一部施策については従来からの検討が具体化している。

政府機関においては、整備が行われていた政府横断的な情報収集、攻撃等の分析・

解析等の体制（

ＧＳＯＣ）について、本格的な運用が開始された。

また、重点検査による端末・

Ｗｅｂサーバ・メールサーバに対するセキュリティ対

策の改善・強化に向けた取組みが行われ、大きな改善が見られた。

企業においては、情報セキュリティ対策装置の導入、情報セキュリティポリシーの策定等情報セキュリティに対する投資は、徐々にではあるが向上する傾向にあると言える。

他方、企業における情報セキュリティに対する投資は、各主体の経営判断の下、

投資可能な費用と想定される損失とのバランスを考慮して行われるものと考えられ、経済状況が急速に悪化している状況においては、本来必要な情報セキュリティ投資までもが抑制される恐れもある。

個人分野では、最近の状況をみると、例えば

ＯＳの定期的なアップデート、ウイル

ス対策ソフトの導入・活用については、増加傾向にあり、全体としての底上げは徐々

(15)

にではあるが、進んでいると言える。しかしながら、いまだに情報セキュリティ対策を実施していないユーザも存在し、既存の対策が行き届いていない層に重点を当てつつ、更なる対策実施が望まれる。

研究開発・技術開発では、継続されていた情報セキュリティ対策を進めるためのヴァーチャルマシンのプロトタイプ版が完成し、公開される等、着実な進展が見られる。

また、技術・研究開発推進の枠組み作りについては、中長期的研究開発プロジェクト管理手法に対する改善検討の進みが見られた。今後は、中長期的な技術・研究開発推進の枠組みに関する検討を具体化することが課題となる。

( c ) 周辺情勢（インシデント・事件、市場等）

周辺情勢に関しては、ファイル共有ソフト等に起因した情報流出が続き、情報漏えいは依然として減少しておらず、個人がウイルスの感染、迷惑メールの受信など、インターネット利用を通じて被害に遭遇する事例も増加している。また、社会経済に影響を与えるシステム障害も依然として発生している。インターネットを利用した犯罪に関しては、検挙数が増加している。

なお、２００８年度の状況としては、ＳＱＬインジェクションによる被害の増大、標的型攻撃の増加、ＤＮＳキャッシュポイズニングによる世界的な被害の発生、ＵＳＢメモリを経由したコンピュータウイルスの流行といった事象が観測された。

これらの脅威は、攻撃方法が多様化・巧妙化した上で、その目的も経済的実利を狙ったものになる傾向にある。

これら状況に対して、企業・個人をはじめとしたユーザの対応については、新たな脅威に対する認識が低い、実際に被害にあうケースが増えているなど、十分に対応できているとは言い難い現状にある。

加えて、これら悪意による攻撃やシステム障害等従来認識されていたインシデントだけでなく、特に個人において、インターネットサービスを利用するに当たって、意図しない形で個人情報を含む情報を流出されてしまう事例も報道されている。インターネットにおける新たなサービスは提供され続けており、サービスの利用方法を誤って意図しない方法で、個人情報を含んだ情報漏えいが発生することについては今後いっそう留意することが求められる。

(16)

11

（３）総評

ここでは、情報システムの社会基盤化が進んできたことを前提に、情報セキュリティが情報システムに対して及ぼす影響などについて網羅性を持って分析・検討するアプローチをとるよりも、むしろ、情報セキュリティ政策を検討していくに当たって有益な情報セキュリティに関する特徴的な事象などを述べ、詳細については各論において言及することとする。

２００８年度においては、ＳＪ２００８に盛り込まれた取組みについて概ね予定通り進められ、情報セキュリティ基盤の強化に向けて最大限の努力がなされた。

各対策実施領域の取組み状況に関しては、ＳＪ２００６、ＳＪ２００７で検討・推進が継続されてきた事項のうち、具体性を伴った対策として結実したものが一定数見ることができる。情報セキュリティ対策の性格上、対策が具体化してから社会で効果が見えるまでに時間が必要な対策も多々存在するが、情報セキュリティ基盤の強化という観点から見ると、具体的な対策が行われたことは、有意義であると言える。

また、基本計画に掲げられ、ＳＪ２００８で目標が定められている「４つの基本方針」

との関係では、１）例えば政府機関においては、各府省庁の持続的な

ＰＤＣＡサイクルの

実施による対策実施状況の改善、またＮＩＳＣにおける体制の強化が引き続き図られるなど、取組みの重要性の認識の維持・向上が図られてきたものと言える。また、政府関係者と重要インフラ事業者の情報共有の場であるセプターカウンシルが設立されるなど、

重要インフラ分野での分野横断的な共通認識の形成へ向けた、具体的な取組みが行われている。

また、２）技術面に関しては、先進的技術の追求を行い、研究開発・技術開発の要素を取り入れた情報セキュリティ対策を推進していくことが必要であるとの認識の下、

様々な研究開発・技術開発や方向性の検討がなされたという状況である。研究開発・技術開発においては、「高セキュリティ機能を実現する次世代ＯＳ環境の開発」においてプロトタイプ版がオープンソースとして公表され、また、中長期研究プロジェクトの管理手法の改善方策等やグランドチャレンジ型の研究開発・技術開発の方向性などの検討が行われているが、それぞれ真に実装可能な、先進的技術として情報セキュリティ対策の推進に取り入れられる要素となるよう、また検討を具体化するよう、更に取り組まれることが必要である。

３）公的部門の対応能力強化については、１）にも見られる政府機関における対策実施状況の改善及び横断的な情報収集、攻撃等の分析・解析、各政府機関への助言、各政府機関の相互連携促進や情報共有を図るための体制が構築され、本格運用が開始されるなど、公的部門における攻撃等に対する基盤の強化が行われた。

さらに、４）連携・協調の推進については、国際的にはまず、国際連携の窓口（

ＰＯ

Ｃ：Point of Contact）を明確化する必要があるとの認識の下、多国間の枠組みや二国

間会合の場での積極的な情報発信、貢献を行った。また、社会経済活動の相互依存が高まるＡＳＥＡＮ諸国との間で情報セキュリティ政策会議を創設するなど、国際協調・貢献を実施するための「場」の整備も行った。これらの取組みを通じ、我が国の情報セキュ

(17)

リティ政策に対する国際的な認識の向上や、意識・リテラシーに関する諸外国との議論の深化において、一定の成果が得られている。今後、我が国発の国際貢献や国外のベストプラクティスの国内政策への還元に向けて、国内関係組織との情報連携強化や取組みの更なる具体化が必要となってくる。他方、国内の官民の各主体間での連携・協調について、前述のようにセプターカウンシルによる情報共有の場の形成などが行われているが、こうした場を活用し、自律的な取組みにより、積極的かつ実効的な情報共有における連携が期待される。

以上を踏まえると、２００８年度の１年間の取組みを通じて「４つの基本方針」において、一定の改善や継続的な取組み、「場」の形成などの一定の成果が見られるが、今後は、より具体的な形で取組みが進められ、社会的な効果は直ぐに表れるものではないことに留意しつつ、一定の効果が見られるよう継続して取り組まれる必要がある。第１次基本計画に基づいた３か年の取組みを経て、新たな第２次基本計画の下での２００９年度からの取組みは、その新たな方向性とともに、このような継続の観点も加味し、情報セキュリティ基盤の強化に向けた効率的な取組みが期待されるところである。

第３節第１次情報セキュリティ基本計画の３年間（２００６～２００８年度）の総評

２００６年度に策定された、第１次基本計画においては、２００９年初頭の姿として（１）

ＩＴ利用の客観的・主観的信頼性

¹⁰

が確保された姿（２）ＩＴ安心利用環境の構築への過程にあるべき姿が想定されていた。

各政府機関では、基本的なＰＤＣＡサイクルによる評価改善構造の構築、実施状況の把握、

対策改善などの取組みにより、第１次基本計画当初からは対策実施状況に一定の改善がみられることや、ＧＳＯＣなど情報セキュリティ問題への適切な対応体制の整備を行うなど、一定の成果がみられたと言える。しかしながら、取組みにおいては、担当者数の不足、スキル向上・継承が困難であるとの指摘や、取組みが必ずしも能動的でないということもあり、現在の取組みが現行体制での限界値に近づいているという可能性も考えられる。今後、技術や環境の変化を踏まえて取組みを持続・改善していく必要があることからも、現行の体制の強化、

更に自らの情報セキュリティ対策に係るＰＤＣＡサイクルを構築していくことが課題である。

また、先進的な技術開発や効率的な人材育成等に、更なる取組みが必要な課題も又存在する。

重要インフラ分野では、官民の緊密な連携の下、重要インフラの情報セキュリティ対策を強化することを目的に、政府及び重要インフラ事業者の関係主体による取組みを進めてきた。

取組みでは、『安全基準等』の策定・見直し、情報共有体制であるセプターの整備、分野横断的な演習や相互依存性の解析の実施、官民の情報共有体制の整備、各セプターの横断的な情報共有体制であるセプターカウンシルが創設されるなど、共通認識の醸成、情報共有のための土壌の形成、分野横断的な観点から官民の連携を可能とさせる枠組みが構築された。ま

10

ここで、「ＩＴ利用の客観的信頼性」とはＩＴ利用に際して使用するＩＴ機器や、そのＩＴを利用する環

境の安全性について信頼が出来ること意味する。また、「ＩＴ利用の主観的信頼性」とは、ＩＴ利用者が、使

用するＩＴ機器やＩＴ環境の安全性について信頼を持っていることを意味する。（情報セキュリティ政策の枠

組文書、２００７年２月２日情報セキュリティ政策会議了解より）

(18)

13

た、今後は、これら枠組みを基礎に、関係主体それぞれが、主体的かつ積極的に情報の共有、

対策の取組みが行われることが期待される。さらには、重要インフラ分野でのＩＴ利用の一層の深化や広がりなどの変化に対して情報セキュリティ対策を機敏に対応させていく必要がある。

企業においては、情報セキュリティ事故による信用失墜の回避、企業秘密情報保護による競争優位性の維持、事業継続性の確保、社会的責任といった観点から自主的に様々な取組みがなされてきた。政府もまた、各種認証制度、ガイドライン等のツールの開発・普及を図るなど政策面での支援を行ってきたところである。取組みの状況としては、情報セキュリティマネジメントシステム（

ＩＳＭＳ）適合性評価の取得組織数、情報セキュリティポリシー策定、

技術的対策、監査を実施する企業の割合は徐々にではあるが増加傾向にあり、ＰＤＣＡサイクルの確立に向けた取組みが進められたと言える。今後、更なる各対策の取組み状況の底上げが求められる。そのためには、現状、情報セキュリティ対策を実施することに情報セキュリティ向上以外の効果がないとする企業も４割を超えるなどから、対策の取組みが市場で評価され、企業価値、競争力を高めることに繋がる環境の整備が必要であると考えられる。また、

事業規模などにより取組みの状況に差も見られ、更なる底上げには、中小企業等の主にリソース不足から対策が困難な主体の対策が促進されるような方策を検討する必要がある。

個人分野においては、政府及び情報関連非営利組織による広報啓発や情報関連事業者による製品・サービスのＰＲ、特に情報流出事故など情報セキュリティ事故に係る報道などを通して、情報セキュリティの重要性の認識、それに伴う対策実施の状況に進展が見られた。しかしながら、新しい脅威の発生、情報流出等により個人情報の保護に不安があるなど、ＩＴの利用・活用における不安は必ずしも減少しているとは言えない。また、個人のＰＣ等に対する従来からの基本的な対策の実施状況にもいまだ改善の余地がみられ、更に底上げに向けた取組みが求められる。特に、個人にとってはＩＴの仕組みが理解しがたい、新たな脅威に関して認識することも難しいといった点からも、あらゆる個人に脅威の理解、対策の重要性を浸透させることは容易ではない。広報啓発・情報発信を中心とした取組みでは、さらに効果的・効率的な手法を検討、実施していく必要がある。

これらのことから、総体的には、各主体による情報セキュリティ対策の重要性の認識の高まり、組織的な取組みにおいてはＰＤＣＡサイクルによる持続的評価改善の構造の確立が進められ、また様々な対策実施状況に着実な進展が見られるなど、ＩＴ利用の客観的・主観的信頼性の確保へ向け、一定の成果があったと言える。また、ＩＴ安心利用環境の構築の過程として、官民各主体の情報セキュリティに関する連携の枠組み・基盤の整備が実施されるなど、

「あるべき姿」として示されている官民連携における具体的なモデルを構築する取組みが行われた。今後、更にＩＴ利用の客観的・主観的信頼性を確保し、ＩＴ安心利用環境を構築するためには、情報セキュリティを取り巻く環境の変化を踏まえ、構築された枠組み・基盤を基にして、各主体の自主的な取組みを推進し、その持続的な改善を図っていく必要がある。

(19)

第４節２００９年度に向けた課題

以上より、２００９年度においては、第一に長期的な視野に立った新たな枠組みからの対策を検討し、具体的に実施すること、第二にすべての対策分野において、リソース不足で対策への取組みが遅れている主体についての支援を実施すること、第三に環境の変化に柔軟に対応した上で、合理的な水準で持続的に対策を実施すること、が大きな課題である。

第一の課題については、２００８年度において長期的な視野に立った抜本的な対策を検討してきた。こうした取組みを受けて策定された、第２次基本計画における初年度に当たる２００９年度においては、新たな枠組みによる取組みが必要な分野についての検討を継続するとともに、検討した対策を具体的な施策として実施する必要がある。

第二の課題については、経済状況が悪化し、情報セキュリティへの潤沢な投資が難しくなる状況が存在するのに加えて、すでにリソースの不足により情報セキュリティへの取組みが遅れている主体も観測されている。こうした状況において、情報セキュリティにおいては対策の遅れている組織が全体のセキュリティ水準を決める大きな要因となるため、我が国の情報セキュリティを保つためには、リソースが不足している主体に対しての支援を行うことが必要である。

第三の課題については、対策の社会的な効果（アウトカム）が現れるまでには、継続的な取組みを実施し続けることが必要であるが、取組みを継続するに当たっては、取組みが自己目的化したり、硬直化したりしないように、社会情勢をにらみつつ、情勢に合致した修正・

変更を加える必要がある。また、対策を持続するに当たっては、合理的な水準で対策を実施していく必要があることにも留意する必要がある。

(20)

15 第２章政府機関における現状の評価等

第１節政府機関における情報セキュリティに関する２００８年度の取組み１．２００８年度の取組みの背景

政府機関における情報セキュリティ対策は、各府省庁が政府機関統一基準を踏まえた府省庁基準に基づくＰＤＣＡサイクルを持続的に進め、また政府全体としても各府省庁の対策実施状況の評価や政府機関統一基準の適時・適切な見直しも含めた情報セキュリティ対策のＰＤＣＡサイクルが推進されることが基本となっている。

「２００７年度の情報セキュリティ政策の評価等」（２００８年４月２２日第１７回情報セキュリティ政策会議）では、２００８年度に向けた課題として、２００６年度に立ち上がった政府機関のＰＤＣＡサイクルについて、その定着及び組織全体への浸透を徹底することが必要である旨、そのためには、セキュリティ教育に関する実施体制の充実・向上を図り、全職員、全情報システムの対策実施状況の適切な把握を行うこと、政府統一的な教育プログラムの質の向上及び受講機会の拡大を図ることが不可欠である旨が指摘されている。

２００８年度は、これを踏まえ、セキュア・ジャパン２００８（２００８年６月１９日第１８回情報セキュリティ政策会議）において、政府機関統一基準の見直しの実施、

ＰＤＣＡサイクルの定着と浸透、政府機関における安全な暗号利用の促進等を図る施策に

取り組んだ。

第２節２００８年度の取組みを受けた政府機関における現状の評価等（２００８年度の評価等）

１．２００８年度の評価等、及び評価等に関する基本的考え方（評価等の視点）

政府機関対策に関する情報セキュリティ対策の評価等は、各府省庁個別及び政府全体という政府機関の情報セキュリティ対策に係る２つのＰＤＣＡサイクルが着実に定着・浸透しているか確認を行うという視点に基づいて実施した。具体的には、２００８年度の対策実施状況報告、特定の重要項目に係る重点検査及び情報セキュリティマネジメント評価の結果も踏まえて、総合的に評価を行った。

２．評価等の結果と総評

［対策実施状況に関する評価等］

（対策実施状況報告に基づく評価等）

政府機関における情報セキュリティ対策の実施状況を把握・分析するため、各府省庁の情報セキュリティ対策の実施状況について、２００６年度及び２００７年度に実施した評価手法を基本とし、効率化を図りつつ対象をすべての職員に拡大した２００８年度の各府省庁の対策実施状況報告を基に、各府省庁の対策実施状況について評価等を行った。取りまとめ結果を別添３に示す。

２００８年度は、政府機関統一基準導入の３年目ということもあり、多くの遵守事項

(21)

の実施率が高い水準であり、対策の浸透が進んでいるが、他方、政府機関統一基準が最低限度必要なレベルを規定したものであることを踏まえると、いまだ十分なものとは言えないことから、第２次基本計画期間においても、取り組むべき課題が依然として残っていると言える。

（情報セキュリティ対策の教育）

①

職員による教育受講が不十分であり、未受講者への受講指導の徹底も不十分である。

②

ただし、毎年度１回以上実施すべき教育の計画策定や着任・異動後３ヶ月以内に実施すべき教育の計画策定は十分に行われている。

（情報の格付け・取扱い制限に係る措置）

③

情報の作成と入手時において、情報の格付けの実施や格付けの明示等の実施が不十分である。

④

情報の保存時において、情報の暗号化等の実施が不十分である。

⑤

情報の移送時において、管理者に対して行うべき届出が不十分である。

等があげられ、これらは昨年度から一定の改善が見られるものの、いまだ十分ではない。また、その他、対策実施が進んでいない遵守事項としては、例えば、

（各種規程・手順の整備）

⑥

責任者が実施すべき各種情報セキュリティ対策の基礎となるべき規程・手順の

整備において、暗号と電子署名、外部委託、府省庁外での情報処理の制限及びドメイン名の使用に係るものが不十分である。

等があげられる。他方、対策実施が進んだ遵守事項としては、例えば、

（情報システムの台帳整備）

⑦ 情報システムが扱う情報や当該情報の格付けを含む事項を記載した情報システムの台帳整備については、昨年度は課題とされたが、顕著な改善が認められる。

等が挙げられ、一定の成果が見られる。

（重点検査に基づく評価等）

「政府機関の情報セキュリティ対策のための統一基準」において実施すべき必須事項としている基本遵守事項の中でも特に重要な事項として、前年度に引き続き、１９府省庁の端末、ウェブサーバ及び電子メールサーバについて検査を行った。

端末、ウェブサーバ及び電子メールサーバに関する情報セキュリティ対策状況（２００８年１１月時点）については、２００９年２月の第２０回情報セキュリティ政策会議に結果を報告するとともに、ＮＩＳＣのホームページにおいて公表した。取りまとめ結果を別添４に示す。

＝分析＝

第１次基本計画が終了する平成２１年３月末時点で、実施すべき対策がすべて実施されている（実施率１００％）府省庁は、端末が１７府省庁、ウェブサーバが１５府省庁

（２府省庁は対象なし）、メールサーバが１８府省庁となっており、昨年度は各対象とも約半数が完全な状態ではなかったことと比較して大きな改善がみられた。しかし、一

(22)

17

部の府省庁は完全な状態ではなく、対策がすべて完了するのは２００９年度となっている。

また、政府機関全体でウェブサーバ約１０００台、電子メールサーバ約１９００台がそれぞれ設置・運用されていることがわかった。

［情報セキュリティマネジメントに関する評価等］

各府省庁における情報セキュリティ対策に関するマネジメントが、計画・実施・評価・

改善のいわゆるＰＤＣＡサイクルの各段階で確実かつ効果的に行われているかを評価するため、「計画」「周知」「実施」「評価と改善」の各段階にわたる４１の評価指標に基づき、第１次基本計画最終年度における政府機関の情報セキュリティマネジメントの状況について、前回２００６年度の調査結果を踏まえて、調査・分析を行った。結果を別添５に示す。

＝分析＝

政府機関の模範となる優れた取組みを４２件選定（前回４４件）し、そのうち総務省の e ラーニングの取組みや、外務省の外部委託における適切な調達仕様・契約の整備等、

取組６件（前回５件）をベストプラクティスとして選定した。しかしながら、政府内外を問わず模範となる先進的な取組みは前回同様１件も見られなかった。

また、府省庁における情報セキュリティ対策の推進・取りまとめの担当者数について、

１５府省庁は、現状の担当者数が不足しているとみており、このため、特に、教育や規程の整備に係る業務に支障が出ているとしていることがわかった。

情報セキュリティ教育の受講率については、約半数の府省庁で、ほぼすべての職員が教育を受講している一方、幹部（指定職以上）や管理職（課室長）の受講率が８０％に満たない府省庁が、それぞれ８府省庁あり、幹部等の教育に課題が残ることもわかった。

［ＳＪ２００８施策の取組み結果に関する評価等］

（ア）政府機関統一基準とそれに基づく評価・勧告によるＰＤＣＡサイクルの構築ａ）政府機関統一基準の見直しの実施

政府機関統一基準については、技術や環境の変化を踏まえ、毎年見直しを行い、また、

その際には政府機関内外で発生したＩＴ障害についても分析を行い、その結果を反映することとしている。

２００８年度においては、無線

ＬＡＮ環境の脆弱性への対応等の技術・環境の変化へ

の対応に加えて、これまでの政府機関対策を通じて得られた知見等に基づき、政府機関統一基準の構成変更等について検討を行い、その結果を踏まえ２００９年２月の第２０回情報セキュリティ政策会議において第４版を決定した。

ｂ）ＰＤＣＡサイクルの定着

各府省庁は、ＰＤＣＡサイクルの定着及び組織全体への浸透の徹底を図るため、特に、２００８年度においては、職員に対する教育の拡充等により、セキュリティ意

２００８年度の情報セキュリティ政策の評価等