中間報告

  資料３−２ 

中間報告 

2004 年 9 月 6 日   

情報セキュリティ基本問題委員会  第１分科会（政府機能・役割検討分科会） 

目次 

はじめに   ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・    ２  委員名簿  ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・    ４   

１．基本的な考え方  ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・    ５   

２．具体化の方策   ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・    ７   

２．１  政府の情報セキュリティ政策・施策実施体制のあり方  ・・・・・・・・・・・・・・・・・・・    ７  ２．１．１  情報セキュリティ政策・施策の実効性及び統一性確保等のための措置 

２．１．２  研究開発・技術開発の方向付けを行う構造のあり方   

２．２  有効性の高い政府自身の情報セキュリティ対策のあり方  ・・・・・・・・・・・  １１  ２．２．１  政府統一的な安全基準の策定と評価 

２．２．２  対策のための予算措置 

２．２．３  政府の対策のための情報収集・分析（インシデントレスポンスを含む） 

２．２．４  政府職員の人材育成・人材確保     

２．３  情報セキュリティに関する国家的拠点の強化の必要性とその方策のあり方・・  １８  ２．３．１  情報セキュリティに関する国家的拠点の強化の必要性 

２．３．２  実効性確保のための法制的措置の必要性   

（参考）第１分科会検討の経緯  ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・  ２１ 

はじめに（本中間報告の位置付け） 

約３年半前の「ｅ−Ｊａｐａｎ戦略」決定以降、官民をあげた様々な取り組みの結果、当時、

政府が目標とした「２００５年に世界最先端のＩＴ国家の実現」は、現実のものになろうとしてい る。情報通信技術の恩恵が産業・経済活動から広く国民生活に浸透するにつれ、新たな社 会基盤としての情報システムの重要性が高まる一方で、情報システムの不具合が経済活動 はもとより、国民の生命、財産に重大な影響を与えるリスクも急速に増大していることから、情 報セキュリティの確保が焦眉の課題となっている。

国際的にみても、情報セキュリティの確立はＩＴ社会の実現に不可欠の課題であり、安全 保障・危機管理の観点からも国全体として早急に取り組みを開始すべき課題である。一方、

我が国の場合、近年の相次ぐ重要情報漏洩事件や重要インフラのシステム障害の事案に みられるように、情報セキュリティに対する国民の関心が高い一方で、対策については政府 も含め後手に回っているのが現状と言える。この背景には、ＩＴ推進政策に比べ、情報セキュ リティについては、基本政策の視座や政府、企業、個人の各レベルでの責任の所在と何を すべきかなど、本質的かつ基本的な問題の検討が置き去りにされてきたという実態がある。

こうした問題認識の下で、本年７月２７日、ＩＴ戦略本部の下に「情報セキュリティ基本問題 委員会」が設置され、ＩＴ社会の基盤となる情報セキュリティに関する基本的な課題について、

専門家の知見を集約して「国家としての戦略」を策定するとともに、実施可能な対策を優先 順位をつけて具体的に提示するための検討を開始した。当第１分科会は、情報セキュリティ 基本問題委員会の付託により、先ず最も喫緊に着手し、解決しなければならない課題として、

「情報セキュリティ問題における政府の機能と役割」について短期間に集中的に審議を行い、

今後３年間で実施に移すことを前提に、その具体的な方策を明らかにすることになった。

今回、当分科会としては、設置以来３回にわたる議論の経過を中間報告の形でとりまとめ、

基本問題委員会に報告することとした。

なお、今回の中間報告では、当分科会に与えられた「情報セキュリティ問題における政府 の機能と役割」についての検討を行うにあたっての、基本的な問題点の認識と考え方を整 理した上で、国全体として統一性ある情報セキュリティ政策・施策の推進と政府自身の情報 セキュリティ対策の強化を図る観点から、以下の３つのテーマについて、それぞれ、1)問題 の所在、2)望ましいあり方、3)アクションプラン（実現の方策）を提示し、具体策を展開してい る。

(1) 政府の情報セキュリティ政策・施策実施体制のあり方 (2) 有効性の高い政府自身の情報セキュリティ対策のあり方

(3) 情報セキュリティに関する国家的拠点の強化の必要性とその方策のあり方

今後、当分科会としては、基本問題委員会からの指摘を受け、10 月末までにさらに検討 を加え、最終報告を行う予定である。

２００４年９月６日

情報セキュリティ基本問題委員会 第１分科会  座長 土居  範久

情報セキュリティ基本問題委員会第１分科会委員名簿 

（政府機能・役割検討分科会） 

稲垣  隆一  弁護士   

宇賀  克也  東京大学法学部教授   

大木栄二郎  IBM ビジネスコンサルティング株式会社チーフセキュリティオフィサー   

佐々木良一  東京電機大学工学部教授   

土居  範久（座長）  中央大学理工学部教授   

中尾  康二  KDDI 株式会社技術開発本部情報セキュリティ技術部長   

夏井  高人  弁護士／明治大学法学部教授   

松尾  明  中央青山監査法人代表社員   

三輪  信雄  株式会社ラック代表取締役社長   

（五十音順、敬称略） 

１．基本的な考え方 

  本文書が描く、「情報セキュリティ問題における政府の機能と役割」のあり方は、現在か ら３年後、すなわち２００７年中までに実現すべきプランとして構成することを目指すことと する。 

  現在の政府における情報セキュリティへの取り組みは、一言でまとめると場当たり的で各 府省庁バラバラな対応という表現に尽きる。まさに縦割り行政の弊害が露呈していると言 える。この状況を根本的に改善するためには、各府省庁での取り組みを充実させると共に、

府省庁横断の視点を持ち整合性、網羅性、合理性に十分配慮した政府全体の政策・施 策の設計と実行が必須である。さらに、情報セキュリティへの取り組みは基本的に終わり のない事業である。このことから、政府内に持続運用可能な機構（メカニズム）として情報 セキュリティへの取り組みを実装すること、社会状況変化への追従性を高める構造とする こと、取り組みが硬直化しないように現実的な視点での事前・事後評価が行われること、さ らには、政府外に存在する英知を最大限活用することができる構造とすることが、基本的 な考え方として重要である。 

  また、情報セキュリティの取り組みで強く意識しなければならないことは、情報システムや ネットワークの構築後に情報セキュリティを勘案することは困難であり、本来情報システム やネットワークを構築する時点で情報セキュリティを組み入れた設計を行うことが強く望ま れることである。加えて、設計の基本となる考え方は技術革新の進展や社会状況の変化 に機敏に対応できることが必要である。すなわち、今後のユビキタス社会においては、デ ータと情報処理が分散する傾向が強まることを踏まえると、「後付け」型からの完全脱却と、

「ビルトイン」型の考え方が政府内に根付かなければならない。更に言えば、「ビルトイン」

型の考え方は単に情報システムやネットワーク構築だけではなく、政策・施策実行におい ても永続的に勘案すべき事項である。情報セキュリティの構成要素は、単に情報システム やネットワークだけではなく、それらに関わる人々、社会、制度さらには国民の価値意識 や文化までも含まれるからである。 

  加えて、このプランを真に実現可能とするためには、現時点の状態から本文書が描くあ るべき状態への移行プロセスを併せて設計しなければならない。具体的には、３年後のゴ ールに向けてのマイルストーン設定と、プライオリティ設定が必要である。また、当然なが ら、このプランを実行するためには、財政的な裏付け、各府省庁との調整が発生する。こ の意味から、各府省庁が持つ役割と機能を最大限活用し、できる限り短期間にあるべき 状態に移行するための、具体的な移行プロセス設計をより詳細に検討する必要がある。 

なお、政府における情報セキュリティへの取り組みを議論する際に、避けて通れないの が、既存の安全保障・危機管理機能との関係をどのように考えるかという論点である。我 が国の社会構造は情報技術（IT）によって大きく変わりつつあり、大部分の社会経済活動 が情報技術（IT）によって支えられるようになる中、情報セキュリティの強化・高度化こそが、

我が国の国家安全保障上も合理性を兼ね備えた施策である。したがって、情報セキュリテ ィが取り組む安全保障の問題は、情報技術（IT）を活用して我が国が行う社会経済活動に 対する脅威に対峙する一連の合理的な取り扱いを、人権保障と適法性を確保しつつ設 計することであり、危機管理とは、我が国の社会経済活動基盤に深く組み込まれた情報 技術（IT）の基盤の持つ脆弱的な構造やそこから惹起される恐れがある危機の発生を排 除し、また、万が一陥っても被害を最小限度に抑えるようあらかじめ適切に準備することで あると考えることができる。 

このような考え方から、このプランは設計されている。 

２．具体化の方策   

「はじめに」で示したように、本章では、前章の基本的考え方に基づき、基本問題委員会 から検討が付託されている「情報セキュリティ問題における政府の機能と役割」について、

(1)政府の情報セキュリティ政策・施策実施体制のあり方、

(2)有効性の高い政府自身の情報セキュリティ対策のあり方、

(3)情報セキュリティに関する国家的拠点の強化とその方策のあり方

の３つのテーマに分け、それぞれ、1)問題の所在、2)望ましいあり方、3)アクションプラン（実 現の方策）を提示する。

２．１  政府の情報セキュリティ政策・施策実施体制のあり方 

本節では、政府としていかなる体制で情報セキュリティ政策・施策を実施すべきかという点 について、(1)情報セキュリティ政策・施策の実効性及び統一性確保等のための措置と、(2) 研究開発・技術開発の方向付けを行う構造のあり方とに分けて具体化の方策を提示する。

（注）ここでいう「政策・施策」とは、主に、政府内部の情報セキュリティ対策（2.2）以外の、

例えば重要インフラ部門や企業・個人等に対する「外向き」の政策・施策を指す。し かしながら、政府内部の情報セキュリティ対策も含めて、政府全体として情報セキ ュリティ確保への取り組みを不可分に進めることも重要であることから、以下、必要 に応じて、政府内部の情報セキュリティ対策との関連性も含めて整理することとす る。

２．１．１  情報セキュリティ政策・施策の実効性及び統一性確保等のための措置   

＜問題の所在＞ 

○ 情報セキュリティ政策・施策推進においては、他の分野に増して以下の必要性を有 することが特徴。

1) 速い環境変化への対応

2) フェールセーフの考え方を取り入れた施策実施

3) 技術要素の強い分野であるとともに、組織運営（セキュリティマネジメント等）な どの関連領域の専門的知見が統合的に必要であり、複数の高い専門性に立脚し た政策・施策の設計が必須

4) 危機管理や安全保障の観点との密接な連携

5) 官民連携の基盤構築（例えば、脆弱性情報の収集・分析など）

○ 現状は、関連政策・施策を遂行すべき府省庁が個別に必要な施策を実行し、政府 全体として、限られた資源を適正配分する機能がない。また、実施する施策につい

て、最近では重複排除の考え方が導入されつつあるが、一方で網羅性と完全性に ついては検討が全く行われていない。そもそも政府全体としての情報セキュリティ投 資自体の現状（予算、効果）を把握できていないとの問題点もあり。

＜望ましいあり方＞ 

○ 情報セキュリティ政策・施策推進のための政府全体としての中長期的な「基本計 画」（グランドデザイン）を策定する。さらに、急激な環境変化に追従するために、

(1)「基本計画」の継続的な見直しと改善を行うグループを恒常的に政府内に有し、

硬直的な執行とならない体制を確保する。このグループは情報セキュリティの専門 家だけではなく、行政活動に対して高い知見を持つ専門家も含める。加えて、(2)

「基本計画」に基づいた「基本方針」を毎年度定めるとともに、年度途中でも「基本 方針」の変更を行うことのできる枠組みを構築する。

○ 「基本計画」及び「基本方針」に基づき、関連施策（予算も含む）の事前評価を実施。

その際、以下の観点が重要。

¾ 情報セキュリティの専門性（技術的な専門性と組織運営（セキュリティマネジメ ント等）などの関連領域の専門性）が全体として確保される多彩なスタッフによ る評価

¾ 評価結果を最終的に国会に報告

¾ 各府省庁の責任の明確化

¾ 事業の中で情報セキュリティの観点から評価が必要なものの抽出と評価意見 の付与（関連事業において、情報セキュリティの要素が適切に考慮されている か否かについて評価）

¾ 不必要な重複排除と施策実施を行う各府省庁へのインセンティブの付与（一 定の予算プールとその配分があることが望ましい）

¾ サービスバックアップやフェールセーフ機能実装、検証等の適切な領域にお いては、逆に重複の許容も必要。このため、セキュリティ面から検討された合理 性の高い判断尺度を同時に確立し、社会に公開していくことの実施。

○ 政府の対策のための予算措置等（2.2.2）についても、上記構造の中に包含。

○ 実施された施策についてのチェック＆レビューを行い、「基本計画」及び「基本方 針」の改定に反映。その際、以下の観点が重要。

¾ 相対比較可能な客観的評価指標の設定

¾ 長期のチェック＆レビューと短期のチェック＆レビューの両者の整備

¾ レビュー結果の対処の責任が各府省庁にあることの明確化

＜アクションプラン（実現の方策）＞ 

○ 総理大臣直結の母体として、専門性を有する有識者及び内閣官房幹部からなる

「情報セキュリティ政策会議（仮称）」を設置。内閣官房内に事務局を設置。

○ 「情報セキュリティ政策会議（仮称）」は、政府における情報セキュリティ政策・施策 及び政府の情報セキュリティ対策に関する措置について一元的に取り扱い、中長 期的な「基本計画」を策定するとともに、毎年の「基本方針」を策定。

○ 「情報セキュリティ政策会議（仮称）」は、その「基本計画」及び「基本方針」に基づき、

各府省庁の関連施策を評価。

○ その際、我が国の情報セキュリティ確保に必要な重要事項に係る政策・施策を総 合的に推進する予算として「情報セキュリティ推進調整費（仮称）」を新設。

○ 「情報セキュリティ政策会議（仮称）」は、毎年度、実施された施策についてのチェッ ク＆レビューを行い、「基本計画」及び「基本方針」の改定に反映。

２．１．２  研究開発・技術開発の方向付けを行う構造のあり方   

＜問題の所在＞ 

○ 情報セキュリティ技術開発に対する投資結果を、直接政府が使うことができていな い。実用化まで含めた技術開発投資により、その投資が実を結ぶが、実用化まで を視野に入れた場合、具体的な研究成果の購入者が必要。政府は、研究成果の 購入者に成り得るにも関わらず、これまで最終成果物を政府自らが利用することを 期待した研究開発投資を行ってこなかったのは事実。

○ 情報セキュリティ関連研究の高い先端性と網羅性の確保が重要であるにもかかわ らず、情報セキュリティ関連の政府研究資金が、学術研究からの視点だけで配分さ れている。また、基礎領域に対する投資についても、充分な検討が再度必要。特 に、研究と教育との相互作用に注目した投資設計がなければ、持続的な基礎領域 の発展が望めない（特に応用数学、システム解析、暗号理論等）。

○ 犯罪捜査や軍事関連と見られる研究に対して、適切に投資することが難しい。大学 や多くの研究機関は、犯罪捜査、軍事関連技術開発に対する研究資金受け入れ をしていない。あるいは、受け入れられない。

○ 情報セキュリティに関する研究開発・技術開発は行われているが、基礎理論や社 会学等との統合的領域への投資がほとんどない。例えば、緊急対応時における組 織行動解析とその最適化への取り組みといった領域に対する研究投資が我が国 では十分に行われているとは言い難い。

○ 個別技術に偏っており、統合技術に対する投資ができていない。例えば、暗号技 術などへの投資は行われても、暗号等のさまざまな技術を統合したセキュアな情報 システム・アーキテクチャ開発等への投資は不十分と言わざるを得ない。

＜望ましいあり方＞ 

○ 政府が実施する研究開発投資に対して、投資の有効性について検証を行うと共に、

その成果について政府をはじめとする利用者がいるかどうかを評価する母体の設

立。

○ 上記母体からの意見を踏まえ、情報セキュリティ関連技術の開発の方向性を継続 的に策定すると共に、達成状態のモニタリングも同時に実施。

○ 政府・大学だけでなく、民間企業における技術開発能力を活用。

○ 公募型での研究開発投資先選定だけでなく、上記母体が政府内外の専門家を集 約し、研究開発プログラムを設定するトップダウン型の投資先選定も並立。

○ 上記母体が、①情報セキュリティ技術の質の向上に必要な学問領域を抽出し、そ の領域での研究を促進（促進領域）。②活動する研究者が存在しない場合でも戦 略的に重要な領域での研究立ち上げを支援（戦略領域）。

○ 所管する重要インフラを防護するための技術開発経費において、情報セキュリティ 関連の投資を一定割合確保。

  ＜アクションプラン（実現の方策）＞ 

○ 「情報セキュリティ政策会議（仮称）」（2.1.1 参照）において、情報セキュリティに関 する研究開発・技術開発の有効性検証と、研究開発した成果を政府内部で使うた めのフレームワークを設定。

○ 現在の科学研究費補助金制度や科学技術振興調整費などの公的研究助成資金 を見直し、情報セキュリティ領域での投資方針と評価の一本化を行い、効率の良い 研究投資を実現する体制を設立。

○ 技術の利用方策、普及方策についての開発を実施。

２．２  有効性の高い政府自身の情報セキュリティ対策のあり方 

本節では、政府自身の情報セキュリティ対策のあり方について、以下の４つの論点に分け、

具体化の方策を提示する。

(1)政府統一的な安全基準の策定と評価 (2)対策のための予算措置

(3)政府の対策のための情報収集・分析 (4)政府職員の人材育成・人材確保

なお、本節で提示する方策は、「各府省庁が持つ役割と機能を最大限活用し、できる限り 短期間にあるべき状態に移行するための方策」という基本的考え方を踏まえ、政府統一的 に内閣官房が実施すべきものを示している。

２．２．１  政府統一的な安全基準の策定と評価 

＜問題の所在＞ 

○ 「情報セキュリティポリシーに関するガイドライン」（平成12年7月18日情報セキュ リティ対策推進会議決定）は、「具体的な対策レベル」については各府省庁任せ。

○ 内閣官房による各府省庁に対する脆弱性検査（平成16年3月3日発表）の結果 からも、以下の問題点が抽出。

¾ セキュリティ水準の高い府省庁と低い府省庁の格差が大きい

¾ 内部からの侵入等に対して脆弱

○ 最近の官民における情報漏洩事案等は、技術的な側面に起因するものだけでなく、

データ保存メディアの紛失など運用面にも起因するもの。

○ 各府省庁毎に「自己点検」や「外部委託監査」が行われているだけであり、統一的 な基準に基づく客観的評価がなされていない。

○ そもそもセキュリティポリシー、対策基準が作成されていても、その運用が伴ってい ない組織が存在する。また、セキュリティポリシーや対策基準、実施手順書などの 見直しは着実に行われているものの、合理性が確保されているかどうかは各府省 庁任せで、政府全体として把握できていない。

○ システムやデータの特性に踏み込んだ事業継続性に注目した対策が実施されてこ なかった。行政機能の東京一極集中は、社会的脆弱性を内包しており、行政機関 における情報システムにおいても同じ過ちを繰り返そうとしている。事業継続性とデ ータや機能の地理的分散、技術的分散を伴ったバックアップが必要なのにもかか わらず、ほとんど実施されていない。

＜望ましいあり方＞ 

○ 内閣官房が主導し、政府全体としての情報セキュリティ水準の向上を図るため、以

下を実施。

¾ 内閣官房が、政府として統一的な安全基準を策定

¾ 策定した安全基準に基づき、内閣官房が政府統一的な情報セキュリティ監査 及び評価を実施

¾ 内閣官房は、評価結果に基づいた各府省庁の対策促進への勧告権を持つと ともに、適切な対策を講じるための予算措置の手当を実施（2.2.2参照）

○ 安全基準の内容については、以下の内容を確保することが重要。

¾ 情報分類等に応じた複数の「具体的な対策レベル」を示した基準

¾ 政府内で統一的に実施すべき対策の基準

¾ 各府省庁が最低限実施すべき対策の基準

¾ 既存の標準・ガイドライン等を適切に活用した基準

¾ 技術的セキュリティに関する事項だけでなく、以下の事項を含んだ基準

— 調達に関する事項

— 運用に関する事項（情報収集・分析（インシデントレスポンスを含む）等）

— 人的資源に関する事項

— 物理的セキュリティに関する事項

¾ 監査結果及び評価結果による、基準の内容の定期的な見直しの実施

○ 政府統一的な情報セキュリティ監査及び評価においては、1)秘密保持及び責任の 所在の明確化を図りつつ外部の知見の活用について考慮する一方、監査及び評 価を行う専門的な人材を政府内部でも育成すること、2)評価結果について、各府 省庁の情報セキュリティ水準が客観的に明示できる方法で提示すること、3)各府省 庁において自己点検及び監査を行うことを怠らないこと、4)適法性を確保すること が必要。

○ 加えて、以上の内閣官房と各府省庁の権能について、法制的に措置することを検 討（2.3.2参照）。

（参考）米国では、連邦情報セキュリティ管理法（FISMA : Federal Information

Security Management Act）により、省庁は年に一度、自らの情報セキュリ

ティを見直し、行政管理予算局（OMB）に対してセキュリティ報告書を提出 することが義務付けられている。

  ＜アクションプラン（実現の方策）＞ 

○ 内閣官房にて、政府統一的な「安全基準」を策定し、それに基づく評価を実施（平 成16年７月26日「情報セキュリティ対策推進会議幹事会申し合わせ」参照）。

○ 加えて、1)基準の策定・改訂、2)基準に基づく監査及び評価の実施、3)監査及び 評価の結果に則して各府省庁に対して対策を促進する勧告権を内閣官房が有す ることの法制化の検討。

○ 「情報セキュリティ政策会議（仮称）」（2.1.1 参照）における対策予算の評価の実施

（2.2.2参照）。

２．２．２  対策のための予算措置 

＜問題の所在＞ 

○ 各府省庁が対策を講じようとしても、適切な予算措置の手当がなく、かつ、情報セ キュリティ対策は危機管理の側面も持ち機動的に講じることが不可欠である中で、

年度途中での支出等が困難な状況にある。

○ 情報セキュリティ対策のための投資は、情報システム投資に関するものであるもの が多く、裏返せば情報システム調達の一部となるが、その調達を高水準の技術開 発・研究開発や国内産業の育成に活用するとの視点が不足しがち。

○ 政府内に情報セキュリティの初期投資配分および運用経費配分に関する統一的 なメカニズムが存在しない。

○ 予算査定を行う過程での、情報セキュリティへの危機意識と専門性の高い人材が 不足。

＜望ましいあり方＞

○ 内閣官房は、上記 2.2.1 の統一的な安全基準に基づく監査の結果及び評価の結 果に基づいた各府省庁への対策促進の勧告権を持つとともに、必要な予算措置を 手当（2.2.1参照）。

○ 内閣官房に、情報セキュリティの専門性（技術的な専門性と組織運営（セキュリティ マネジメント等）などの関連領域の専門性）が全体として確保される多彩な人材を 配置。

○ 政府が実施する研究開発投資に対して、有効性検証を行うと共に、その成果が政 府として利用可能かを評価する母体を設立。積極的に、当該成果を調達に活用。

○ 情報システム初期投資・運用投資の一定割合はセキュリティ投資に充てる。

○ 通常民間で行われている IT 投資評価の手法（例えば、複数年度にわたる予算執 行評価、初期コスト償却、TCO、ライフサイクルコスト等）の導入。

○ 情報セキュリティ対策に使われる費用を十分なものとするには、情報セキュリティ対 策を目的とした予算だけに頼るのではなく、情報システム等の構築を目的とする予 算の中で、安全基準（2.2.1参照）で定められた情報セキュリティ対策の要件を満た す費用を確保。

  ＜アクションプラン（実現の方策）＞ 

○ 「情報セキュリティ政策会議（仮称）」（2.1.1 参照）における対策予算の評価の実 施。 

○ 当該評価の実施のために、専門的なスタッフを整備。 

２．２．３  政府の対策のための情報収集・分析（インシデントレスポンスを含む） 

＜問題の所在＞ 

○ 脆弱性情報や脅威情報等の早期情報収集とその分析の強化が必要。

○ 国際的な脆弱性情報等の流通の窓口たる POC（Point of Contact）は内閣官房 になっているものの、案件ごとの担当が各府省庁に分散されており、一元的かつ迅 速な対応が困難な状況。

○ 政府機関の対策を支援するために内閣官房には NIRT（緊急対応支援チーム）が 整備されているが、非常勤のスタッフを中心に構成されているため、緊急事態の発 生時に迅速に対処することが難しい。

○ 内閣官房と警察庁・防衛庁等とのより緊密な連携のあり方についての議論が十分 でない。

○ 事故が発生した場合等の緊急事態における政府全体としての意思決定の仕組み が十分でない。

＜望ましいあり方＞ 

○ NIRTの機能を継承し、さらに新たな課題に取り組むことが可能な、以下のような役 割を持つ常勤の部門を設立。その際、1)ネットワーク経由の外部からの攻撃等の脅 威だけでなく、内部からの脅威にも対応する機能とすること、2)各府省庁の自主的 対策が前提となるも、特に緊急時においては積極的に連携を行うことが必要。

¾ 各府省庁の対策促進

— 各府省庁が運用しているシステムの運用状況モニタリング

— 事故発生時の対応支援（情報収集・分析・調整）

— 事故調査（原因究明・対策の共有化）

— 事故発生時の事業継続支援（計画策定、技術サポート等）

— 事故からの回復支援（バックアップセンター等）

¾ 各府省庁との連携を強化するため、各府省庁の担当職員の一部がリエゾンと して活動。

¾ 官 民 連 携 （ 情 報 セ キ ュ リ テ ィ 関 係 事 案 対 応 機 関 (JPCERT/CC、

Telecom-ISAC、IPA、NiCT 等)や製品開発者などとの連携）の強化。この際、

適法性の確保に留意しながら、緊急時には、自主的でアドホックな連携ではな く、事故情報等の交換の内容を予め取り決めておくことが必要。

— 脆弱性関連情報の収集・配布（当該対応機関からの内閣官房への優先 提供を含む）

— 定点観測等に基づく予兆検知

¾ 国際連携

— 日本政府としての国際インタフェース

○ あらかじめ定められたインシデントレスポンスに関するガイドラインに従った運用の 実施。

○ 省庁ＩＲＴ（インシデント・レスポンス・チーム）の編成促進。

○ 事故の原因等を分析し、その後の対策に活用していくための事故調査を実施。

○ 各府省庁における安全なシステム設計の支援を実施。

○ なお、重要インフラ部門等に対しても、同様の対応を行うことを検討することが必 要。

＜アクションプラン（実現の方策）＞ 

○ NIRTの機能継承をし、上記の機能を有する新たな組織の設立。

○ 各府省庁の担当職員の一部を内閣官房に併任。

○ インシデントレスポンスに関するガイドラインを策定。

○ 事故の原因等を分析する情報セキュリティ事故調査の実施。

２．２．４  政府職員の人材育成・人材確保   

＜問題の所在＞ 

○ 開発・運用両面でもますます外部（民間）に依存する比率が増大していく中で、政 府としての情報セキュリティ対策を一体的に進めていこうとしても、必要な知見や専 門性を有する人材は政府内で偏在かつ限定されており、育成の体系も整備されて いない。

○ 情報セキュリティに関連する情報技術のいくつかの領域では、年々先端化、先鋭 化し、同時に激しく変化する（例えば、情報通信システムの管理システムやモニタリ ングシステムについてはその典型例）。このような領域での高い専門性をもった人 材を政府内で育成することは非常に難しい。このため必要に応じて民間に存在す る人材を、政府として適宜確保し、情報セキュリティ関連の活動の中で積極的に利 用することが必要である。しかし、これまで民間に存在する人材を有効に利用する 制度が充分に機能していない。

○ 既存の人材を育成・確保するだけではなく、教育母体（大学が中心）から政府に対 して、継続的に人材が供給される枠組みが構築されていない。

＜望ましいあり方＞ 

○ 政府職員において求められる人材像（キャリアパス）としては、

¾ 各府省庁情報システム管理部門の担当職員

¾ 情報セキュリティ実践者としての政府職員（エンドユーザー）

¾ 危機管理対応及び情報収集・分析に関するコーディネートのための職員

¾ 情報セキュリティ政策の企画立案を行う職員 の４種類の人材が想定される。

○ 各府省庁情報システム管理部門の担当職員においては、以下のような長期的かつ 体系的な人材育成（人事政策への反映）が必要。

¾ 各府省庁に「情報セキュリティ専門職」（内閣官房併任）を設置（危機管理にお ける一定の権限を付与）

¾ ジョブローテーションの長期化（体系的な知識・経験の吸収と府省庁間連携体 制の確立）。また、ジョブローテーションの長期化に伴うインセンティブ付与を 実施（セキュリティ管理、システム運用に従事することは、責任と共に大きなスト レスが付与されることに留意すべき）。

¾ 一定期間、内閣官房に出向（国家危機管理における実務経験と安全保障に 関する視野の醸成）

¾ 民間に存在する優秀な人材を活用するための制度を充実させることが重要。

特に、人材を提供する民間組織側のデメリットを解消する努力が必須。さらに は、政府と民間の間を往復する人材交流を積極的に拡大し、同時に硬直化し ない弾力的活用ができる制度見直しが必要。

¾ 政府と民間が連携を行うためには、両者の人材のレベルが常時均等になるよう に、それぞれ低い方を引き上げ続けるという設計が重要。

¾ 教育母体（大学を中心）での人材育成の取り組みを体系化するとともに、政府 職員になるというキャリアパスを創出。

○ 限られた予算等の中で政府内部の対策を徹底するためには、情報セキュリティ実 践者としての政府職員（エンドユーザー）に対し、継続的なOJTの実施、職員全員 に対する教育を行うなどの環境整備が必要。

＜アクションプラン（実現の方策）＞ 

○ 「情報セキュリティ専門職」のキャリアパスを新設するとともに、内閣官房は同職に必 要な専門性を養成するための研修を実施。

○ 各府省庁は、「情報セキュリティ専門職」に内閣官房との連絡・調整のほか、情報セ キュリティ対策に係る一定の権限を付与。

○ 「情報セキュリティ専門職」のうち、特に内閣官房に併任された者については、国内 外のＩＲＴ研修プログラムに参加させるとともに、情報セキュリティ事案対応策に関す る特別調査研究予算を支給。加えて、人事院規則に定める「特別勤務手当」を支 給。

○ 情報セキュリティ対策モデル事業の実施（各府省庁「情報セキュリティ専門職」から 提案公募し、選定された府省庁必要予算を配分）

¾ 優秀職員に対する表彰制度の創設

○ 教育母体（大学を中心）での人材育成の取り組みを体系化するとともに、「情報セキ ュリティ奨学金（仮称）」の創設等を実施。

２．３  情報セキュリティに関する国家的拠点の強化の必要性とその方策のあり方 

  本節では、2.1 及び 2.2 で提示した具体化の方策を踏まえ、(1)情報セキュリティ問題への 取り組みの中核的機関（国家的拠点）とされている内閣官房情報セキュリティ対策推進室の 現在の機能を強化する必要性と、(2)提示した具体化の方策を実現するに当たって、法制的 に措置が必要となる点の検討について示す。

２．３．１  情報セキュリティに関する国家的拠点の強化の必要性

＜問題の所在＞ 

○ 現在の内閣官房情報セキュリティ対策推進室では、上記2.1 及び 2.2 を実効性を 持って実施するための、(1)人的資源（室員17名（常勤13名、非常勤4名））、(2) 予算ともに不足している。

＜望ましいあり方＞ 

○ 上記2.1及び2.2を実施するための中核的機関として、内閣官房情報セキュリティ 対策推進室を強化・発展した形で、「国家情報セキュリティセンター（仮称）」を内閣 官房に置く。

○ 「国家情報セキュリティセンター（仮称）」は、以下の機能を有する。

¾ 情報セキュリティ緊急時において、以下の権能を有する。

— 事故関連情報等の情報収集／対処・復旧支援

— 国全体に対する警報

¾ 緊急事態の予防保全を行うために以下の機能を有する。

— 情報セキュリティ関連事案等の情報収集・分析（2.2.3参照）

— 政府統一的基準の策定とそれに基づく監査及び評価の実施（2.2.1参照）

— 政府職員の人材育成・国全体の普及啓発（2.2.4参照）

— 緊急時対応演習

— 戦略企画部門（「情報セキュリティ政策会議（仮称）」の事務局）（2.1.1 参 照）

— 事故調査（2.2.3参照）

— 各府省庁における安全なシステム設計の支援（2.2.3参照）

¾ 各府省庁の担当職員の一部を、リエゾンとして内閣官房に併任し、「センター」

の一員とする（2.2.3参照）。

¾ 「センター」員には、「情報セキュリティ専門職」（2.2.4参照）及び民間に存在す る優秀な人材を積極登用すると共に、一般公務員に比べても高い機密性の保 持等が要求されることを規定化することが必要。

○ 「センター」の自己点検メカニズムを当初からビルトインすることが必要。

＜アクションプラン（実現の方策）＞ 

○ 上記2.1及び2.2を実施するための中核的機関として、内閣官房情報セキュリティ 対策推進室を強化・発展した形で、「国家情報セキュリティセンター（仮称）」を内閣 官房に置く。この実現のために、1)内閣官房と各府省庁及び民間主体との関係な どを規定する既存法制との調整、2)人員及び予算確保のための具体的方策の検 討を実施。

２．３．２  実効性確保のための法制的措置の必要性 

＜問題の所在＞ 

○ 2.1 及び 2.2 の方策を具体化するに当たり、(1)内閣官房と各府省庁との関係、(2) 政府と民間主体（重要インフラなど）との関係で、法制的措置が必要になる点が考 えられる。

○ 例えば、高度情報通信ネットワーク社会形成基本法は、国が，地方公共団体と相 互の連携を保ちながら我が国全体に及ぶ情報セキュリティに関する施策の策定及 び実施の責務を負うこと(１０条、１１条)、政府がそのために必要な法制上又は財政 上の措置その他の措置を講じなければならないこと(１３条)を定めているが、その施 策を行うにあたり必要とされる作業の枠組、その他具体的な内容についての法定 化がなされていない。

＜望ましいあり方＞ 

○ 2.1 及び 2.2 の方策を具体化するに当たり、（１）内閣総理大臣（内閣官房）と各省 大臣がどのように責任と権限を分配し機能するかという点、(2)政府と民間主体（重 要インフラなど）との関係について、法制的措置が必要な部分を検討。

○ 例えば、以下のような点について検討。

¾ 「情報セキュリティ緊急時」に内閣官房（総理大臣）が特別に持てる権能として、

以下を規定する。

— 事故関連情報等の情報収集／対処・復旧支援

— 国全体に対する警報

¾ 緊急事態の予防保全のために、内閣官房が各府省庁に対して、1)統一的な 安全基準の策定、2)基準に基づく監査及び評価の実施、3)監査及び評価の 結果に基づく対策促進の勧告権を持つことを法定。

  ＜アクションプラン（実現の方策）＞   

○ 2.1 及び 2.2 の方策を具体化するに当たり、（１）内閣総理大臣（内閣官房）と各省 大臣がどのように責任と権限を分配し機能するかという点、(2)政府と民間主体（重

要インフラなど）との関係について、法制的措置が必要な部分を検討。

（参考）第１分科会検討の経緯   

2004 年 8 月 6 日  第１回会合     

（１）第１分科会の活動方針について 

（２）「政府の政策・施策実施体制のあり方」及び「有効性の高 い政府自身の情報セキュリティ対策のあり方」についての 具体案の検討（その１） 

2004 年 8 月 23 日  第２回会合 

「政府の政策・施策実施体制のあり方」及び「有効性の高い政 府自身の情報セキュリティ対策のあり方」についての具体案の 検討（その２） 

2004 年 9 月 1 日  第３回会合 

「第１分科会中間報告案」の検討