政府機関の対策実施状況報告(200
政府機関の対策実施状況報告(2009年度)の概要9年度)の概要
2010年5月11日
内閣官房情報セキュリティセンター(NISC)
資料
2-1-3
2
政府機関の対策実施状況報告(
政府機関の対策実施状況報告(
2009年度)の概要 2009
年度)の概要1 対策実施状況報告の実施目的
2 2009年度の報告の範囲
政府機関統一基準(1.1.1.2(6))において、政府機関全体としての情報セキュリティ対策推進の観点から、各府省庁が対策の実施状況をNISCに報告す ることとしており、また、NISCは、政府機関統一基準に関する評価指標に基づき、各府省庁の情報セキュリティ関係規程の整備状況及び対策実施状況に ついて検査し、評価することとしている。 これらを踏まえ、各府省庁の対策の実施状況をNISCにおいて把握し、課題及びその改善に向けた今後の取組み について報告することを目的とする。
政府機関統一基準(1.1.1.2(6))において、政府機関全体としての情報セキュリティ対策推進の観点から、各府省庁が対策の実施状況をNISCに報告す ることとしており、また、NISCは、政府機関統一基準に関する評価指標に基づき、各府省庁の情報セキュリティ関係規程の整備状況及び対策実施状況に ついて検査し、評価することとしている。 これらを踏まえ、各府省庁の対策の実施状況をNISCにおいて把握し、課題及びその改善に向けた今後の取組み について報告することを目的とする。
2009年度は、2008年度と同様、原則としてすべての職員を対象として報告することを求めた。
(休職等により、情報を取り扱わないものを除き、政府機関のすべての職員が報告対象。)
2009年度は、2008年度と同様、原則としてすべての職員を対象として報告することを求めた。
(休職等により、情報を取り扱わないものを除き、政府機関のすべての職員が報告対象。)
3 報告の概要及び2010年度に向けた取組み
報告の概要
・ 政府機関全体で約55万人分の対策実施状況について報告があった。これを分析した結果、把握率、実施率及び到達率については昨年度より高い水 準を達成していることが確認できた。分析結果の概要は以下のとおり。(数値は全府省庁の平均値)
- 状況が把握できた者の割合を示す把握率は、約99%(2008年度;約97%)
- 責務が生じた者に占める対策を実施した者の割合を示す実施率は、約98%(2008年度;約97%)
- 一定の割合以上の実施率を有する遵守事項の割合を示す到達率のうち、実施率が100%の遵守事項の割合は、約83%(2008年度;約76%)
・ 政府全体として、「業務継続計画との整合的運用の確保」及び「情報の作成と入手」に関する遵守事項について課題が認められた。他方、昨年度の 課題となっていた、「情報セキュリティ対策の教育」及び「各種規程・手順の整備」に関する遵守事項については、前回(2008年度)から改善が認められ た。
2010年度に向けた取組み
【情報セキュリテイ教育】
・ 対策実施状況報告で明らかになった課題を分析し、メリハリのある情報セキュリティ教育等を実施することで、情報セキュリティ対策の徹底を図る。
【トップマネジメントの強化】
・ 最高情報セキュリティ責任者が責任をもって、情報セキュリティ対策を推進するための政府全体の枠組みを構築する。
【対策実施状況報告の改善・効率化】
・ 各府省庁の負担を軽減するとともに、現状の維持・向上の観点から、対策実施状況報告の調査項目・手法の改善・効率化を図る。
報告の概要
・ 政府機関全体で約55万人分の対策実施状況について報告があった。これを分析した結果、把握率、実施率及び到達率については昨年度より高い水 準を達成していることが確認できた。分析結果の概要は以下のとおり。(数値は全府省庁の平均値)
- 状況が把握できた者の割合を示す把握率は、約99%(2008年度;約97%)
- 責務が生じた者に占める対策を実施した者の割合を示す実施率は、約98%(2008年度;約97%)
- 一定の割合以上の実施率を有する遵守事項の割合を示す到達率のうち、実施率が100%の遵守事項の割合は、約83%(2008年度;約76%)
・ 政府全体として、「業務継続計画との整合的運用の確保」及び「情報の作成と入手」に関する遵守事項について課題が認められた。他方、昨年度の 課題となっていた、「情報セキュリティ対策の教育」及び「各種規程・手順の整備」に関する遵守事項については、前回(2008年度)から改善が認められ た。
2010年度に向けた取組み
【情報セキュリテイ教育】
・ 対策実施状況報告で明らかになった課題を分析し、メリハリのある情報セキュリティ教育等を実施することで、情報セキュリティ対策の徹底を図る。
【トップマネジメントの強化】
・ 最高情報セキュリティ責任者が責任をもって、情報セキュリティ対策を推進するための政府全体の枠組みを構築する。
【対策実施状況報告の改善・効率化】
・ 各府省庁の負担を軽減するとともに、現状の維持・向上の観点から、対策実施状況報告の調査項目・手法の改善・効率化を図る。
政府機関の対策実施状況報告(200
政府機関の対策実施状況報告(20099年度)の評価結果【年度)の評価結果【実施主体ベース実施主体ベース】】
1 把握率
2 実施率
把握率:各府省庁が報告対象とした者のうち、対策実施状況が把握できた者の割合 実施率:把握した者のうち、責務が生じた者に占める対策を実施した者の割合
到達率:把握した者のうち、責務が生じた一定の割合(100%、95%、90%)以上の者が対策を実施した遵守事項の割合
3 到達率
全府省庁の平均把握率
⑤ 到達率でみると、責任者等に比べ、特に職員が低くな る傾向が顕著に現れた。
⑥ 職員は責任者等やシステム担当と比して、対象数が 多いことや、日々の業務において日常的に実施しなけ ればならない遵守事項が多いことから、すべての職員が 遵守事項を実施することは難しく、到達率100%達成に は困難な面があるが、万一の事故防止のためには日々 の取組みが重要であり、対策がすみずみまで浸透する ような努力が必要である。
③ 平均実施率は約98%となっており、システム担当 が高く、責任者等、職員の順に低い結果であった。
④ 情報セキュリティ対策について組織的な責務を果 たすべき責任者等の実施率が未だに100%に満た ないことは問題であり、早急に改善が必要である。
全府省庁の平均実施率
全府省庁の平均到達率 98.1%
99.3%
① 昨年度と同様、政府機関のすべての職員を対象とし ており、対象数は約55万人となっている。
平均把握率は約99%と昨年より向上しており、多くの 省庁で対策実施状況が把握できている結果であった。
② ただし、対策実施状況の把握は、情報セキュリティ 水準の維持・向上に不可欠であることから、政府機関 全体で把握率100%を達成すべく、今後、更なる向上 が望まれる。特に、把握率の低い府省庁にあっては、
把握率の改善手段を早急に検討する必要がある。
責任者等:最高情報セキュリティ責任者、情報セキュリティ委員会、情報セキュリティ監査責任者、情報セキュリティ監査 実施者、統括情報セキュリティ責任者、情報セキュリティ責任者、課室情報セキュリティ責任者、許可権限者及び 情報セキュリティ関係規程を整備した者
システム:情報システムセキュリティ責任者(情報システムセキュリティ責任者を含む複数の者が主体となっているものを 含む)、情報システムセキュリティ管理者及び権限管理を行う者
全対象者が対策を実施した遵守事項の割合 95%以上の対象者が対策を実施した遵守事項の割合 90%以上の対象者が対策を実施した遵守事項の割合
100%実施した割合 :83.0%
95%以上実施した割合:91.6%
90%以上実施した割合:94.9%
0% 25% 50% 75% 100%
責任者等
システム
職員
実施主体別把握率
0% 25% 50% 75% 100%
責任者等
システム
職員
実施主体別実施率
0% 25% 50% 75% 100%
責任者等
システム
職員
実施主体別到達率
4
政府機関の対策実施状況報告(200
政府機関の対策実施状況報告(20099年度)の評価結果【年度)の評価結果【遵守事項ベース遵守事項ベース】】
(1) 業務継続計画との整合的運用の確保
(2) 情報についての対策
全府省庁の平均実施率
③ 2008年度は、職員による教育受講が不十分であり、未受講者への受講指
導の徹底も不十分であったが、2009年度は改善が認められる。
全府省庁の平均実施率
① 特定の省庁において業務継続計画と情報セキュリティ対策の整合性の確保と業務継続計画と情報セキュリ ティ関係規程の不整合の報告について、取組みが不十分である。
→ 特定の府省庁にヒアリングを行い、NISCが支援を行うことで実施率の向上を図る。
政府機関全体の実施状況について特筆すべき遵守事項は次のとおり。
全府省庁の平均実施率
99.7 %
[政府機関統一基準(第4版)1.2.5.2]
[政府機関統一基準(第4版)1.3.1]
(1) 情報セキュリティ対策の教育 [政府機関統一基準(第4版)1.2.2.1]
1 今年度の課題
2 今年度改善した昨年度の課題 90.6 %
② 昨年度より課題となっていた情報についての対策において、情報の保存・移送等の項目については大 幅に実施率が改善したが、情報の作成と入手時の遵守事項については、取組みが不十分である。
→ 【行政事務従事者向けの対策】
毎年、課題としてあげられる項目のため、ポイントを絞った重点的な教育を行うことで実施率の向上 を図る。
→ 【責任者等向けの対策】
責任のある立場のものが、自ら実施し指導を行うことで、組織的な情報セキュリティの向上を行うこと ができるような体制を構築する。
96.0 %
教育の実施 教育の受講
98.6 % 87.6 %
教育の実施 教育の受講
(参考)昨年度の実施率
④ 2008年度は、各種規程・手順の整備について、取組みが不十分であった
が、2009年度は改善が認められる。
全府省庁の平均実施率
(2) 各種規程・手順の整備 [統一基準(第4版)1.2.5.1(1),1.4.1.1(1),1.5.2.4(1),1.5.2.6(1)]
(参考)昨年度の実施率
94.5 % 86.9 %
98.1%
97.2%
96.1%
95.1%
96.4%
91.6%
2009年度 2008年度
96.9%
(6)情報の消去
94.0%
(5)情報の提供
95.8%
(2)情報の利用
89.7%
(4)情報の移送
88.8%
(3)情報の保存
86.6%
(1)情報の作成と入手 遵守事項 実施率
(参考1)
(参考1)対策実施状況報告対策実施状況報告((
2007 2007
~~2009年度)の推移 2009
年度)の推移前々回(2007年度) 前回(2008年度)
約2倍
未報告 報告対象外
報告対象 約30万人
報告対象 約55万人
全府省庁の平均把握率
全府省庁の平均実施率
全府省庁の平均到達率 93.4%
93.4%
100%実施した割合 :64.1%
95%以上実施した割合:75.8%
90%以上実施した割合:81.7%
全府省庁の平均把握率
全府省庁の平均実施率
全府省庁の平均到達率 96.9%
97.3%
100%実施した割合 :76.1%
95%以上実施した割合:86.5%
90%以上実施した割合:91.2%
2008年度に引き続いて、2009年度も、平均把握率、平均実施率及び平均到達率は、総じて向上し ており、政府機関全体に、対策が着実に浸透してきていることが認識できる。
2008年度に引き続いて、2009年度も、平均把握率、平均実施率及び平均到達率は、総じて向上し ており、政府機関全体に、対策が着実に浸透してきていることが認識できる。
2007年度 2008年度
(報告の範囲の推移)
全府省庁の平均把握率
全府省庁の平均実施率
全府省庁の平均到達率 98.1%
99.3%
100%実施した割合 :83.0%
95%以上実施した割合:91.6%
90%以上実施した割合:94.9%
2009年度
報告対象 約55万人
今回(2009年度)
6
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣官房
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣法制局
0% 25% 50% 75% 100%
責任者等
システム
職員
人事院
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣府
0% 25% 50% 75% 100%
責任者等
システム
職員
宮内庁
0% 25% 50% 75% 100%
責任者等
システム
職員
公正取引委員会
0% 25% 50% 75% 100%
責任者等
システム
職員
警察庁
0% 25% 50% 75% 100%
責任者等
システム
職員
金融庁
0% 25% 50% 75% 100%
責任者等
システム
職員
総務省
0% 25% 50% 75% 100%
責任者等
システム
職員
外務省
0% 25% 50% 75% 100%
責任者等
システム
職員
法務省
0% 25% 50% 75% 100%
責任者等
システム
職員
財務省
0% 25% 50% 75% 100%
責任者等
システム
職員
文部科学省
0% 25% 50% 75% 100%
責任者等
システム
職員
厚生労働省
0% 25% 50% 75% 100%
責任者等
システム
職員
農林水産省
0% 25% 50% 75% 100%
責任者等
システム
職員
経済産業省
0% 25% 50% 75% 100%
責任者等
システム
職員
国土交通省
0% 25% 50% 75% 100%
責任者等
システム
職員
環境省
0% 25% 50% 75% 100%
責任者等
システム
職員
防衛省
0% 25% 50% 75% 100%
責任者等
システム
職員
府省庁平均
0% 25% 50% 75% 100%
責任者等
システム
職員
消費者庁
(参考(参考22)各府省庁の対策実施状況報告(20)各府省庁の対策実施状況報告(200909年度)の集計結果年度)の集計結果
○ 実施率
実施率:把握した者のうち、責務が生じた者に占める対策を実施した者の割合
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣官房
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣法制局
0% 25% 50% 75% 100%
責任者等
システム
職員
人事院
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣府
0% 25% 50% 75% 100%
責任者等
システム
職員
宮内庁
0% 25% 50% 75% 100%
責任者等
システム
職員
公正取引委員会
0% 25% 50% 75% 100%
責任者等
システム
職員
警察庁
0% 25% 50% 75% 100%
責任者等
システム
職員
金融庁
0% 25% 50% 75% 100%
責任者等
システム
職員
総務省
0% 25% 50% 75% 100%
責任者等
システム
職員
外務省
0% 25% 50% 75% 100%
責任者等
システム
職員
法務省
0% 25% 50% 75% 100%
責任者等
システム
職員
財務省
0% 25% 50% 75% 100%
責任者等
システム
職員
文部科学省
0% 25% 50% 75% 100%
責任者等
システム
職員
厚生労働省
0% 25% 50% 75% 100%
責任者等
システム
職員
農林水産省
0% 25% 50% 75% 100%
責任者等
システム
職員
経済産業省
0% 25% 50% 75% 100%
責任者等
システム
職員
国土交通省
0% 25% 50% 75% 100%
責任者等
システム
職員
環境省
0% 25% 50% 75% 100%
責任者等
システム
職員
防衛省
0% 25% 50% 75% 100%
責任者等
システム
職員
府省庁平均
0% 25% 50% 75% 100%
責任者等
システム
職員
消費者庁
(参考(参考22)各府省庁の対策実施状況報告(20)各府省庁の対策実施状況報告(200909年度)の集計結果年度)の集計結果
○ 到達率
全対象者が対策を実施した遵守事項の割合
95%以上の対象者が対策を実施した遵守事項の割合 90%以上の対象者が対策を実施した遵守事項の割合
到達率:把握した者のうち、責務が生じた一定の割合(100%、95%、90%)以上の者が対策を実施した遵守事項の割合
8
(参考(参考33)各府省庁の対策実施状況報告(2)各府省庁の対策実施状況報告(2008008年度)の集計結果年度)の集計結果
○ 実施率
実施率:把握した者のうち、責務が生じた者に占める対策を実施した者の割合
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣官房
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣法制局
0% 25% 50% 75% 100%
責任者等
システム
職員
人事院
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣府
0% 25% 50% 75% 100%
責任者等
システム
職員
宮内庁
0% 25% 50% 75% 100%
責任者等
システム
職員
公正取引委員会
0% 25% 50% 75% 100%
責任者等
システム
職員
警察庁
0% 25% 50% 75% 100%
責任者等
システム
職員
金融庁
0% 25% 50% 75% 100%
責任者等
システム
職員
総務省
0% 25% 50% 75% 100%
責任者等
システム
職員
外務省
0% 25% 50% 75% 100%
責任者等
システム
職員
法務省
0% 25% 50% 75% 100%
責任者等
システム
職員
財務省
0% 25% 50% 75% 100%
責任者等
システム
職員
文部科学省
0% 25% 50% 75% 100%
責任者等
システム
職員
厚生労働省
0% 25% 50% 75% 100%
責任者等
システム
職員
農林水産省
0% 25% 50% 75% 100%
責任者等
システム
職員
経済産業省
0% 25% 50% 75% 100%
責任者等
システム
職員
国土交通省
0% 25% 50% 75% 100%
責任者等
システム
職員
環境省
0% 25% 50% 75% 100%
責任者等
システム
職員
防衛省
0% 25% 50% 75% 100%
責任者等
システム
職員
府省庁平均
(参考(参考3)3)各府省庁の対策実施状況報告(20各府省庁の対策実施状況報告(200808年度)の集計結果年度)の集計結果
○ 到達率
到達率:把握した者のうち、責務が生じた一定の割合(100%、95%、90%)以上の者が対策を実施した遵守事項の割合
全対象者が対策を実施した遵守事項の割合
95%以上の対象者が対策を実施した遵守事項の割合 90%以上の対象者が対策を実施した遵守事項の割合
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣官房
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣法制局
0% 25% 50% 75% 100%
責任者等
システム
職員
人事院
0% 25% 50% 75% 100%
責任者等
システム
職員
内閣府
0% 25% 50% 75% 100%
責任者等
システム
職員
宮内庁
0% 25% 50% 75% 100%
責任者等
システム
職員
公正取引委員会
0% 25% 50% 75% 100%
責任者等
システム
職員
警察庁
0% 25% 50% 75% 100%
責任者等
システム
職員
金融庁
0% 25% 50% 75% 100%
責任者等
システム
職員
総務省
0% 25% 50% 75% 100%
責任者等
システム
職員
外務省
0% 25% 50% 75% 100%
責任者等
システム
職員
法務省
0% 25% 50% 75% 100%
責任者等
システム
職員
財務省
0% 25% 50% 75% 100%
責任者等
システム
職員
文部科学省
0% 25% 50% 75% 100%
責任者等
システム
職員
厚生労働省
0% 25% 50% 75% 100%
責任者等
システム
職員
農林水産省
0% 25% 50% 75% 100%
責任者等
システム
職員
経済産業省
0% 25% 50% 75% 100%
責任者等
システム
職員
国土交通省
0% 25% 50% 75% 100%
責任者等
システム
職員
環境省
0% 25% 50% 75% 100%
責任者等
システム
職員
防衛省
0% 25% 50% 75% 100%
責任者等
システム
職員
府省庁平均
10
(参考(参考4)4)対策実施状況報告対策実施状況報告の調査対象の調査対象
第2.1部 情報セキュリティ要件の明確化に基づく対策 2.1.1 情報セキュリティについての機能
2.1.2 情報セキュリティについての脅威
第2.2部 情報システムの構成要素についての対策 2.2.1 施設と環境
2.2.2 電子計算機
2.2.3 アプリケーションソフトウェア 2.2.4 通信回線
第2.3部 個別事項についての対策 2.3.1 その他
第1.2部 組織と体制の整備 1.2.1 導入
1.2.2 運用 1.2.3 評価 1.2.4 見直し 1.2.5 その他
第1.3部 情報についての対策 1.3.1 情報の取扱い
第1.4部 情報処理についての対策 1.4.1 情報処理の制限
第1.5部 情報システムについての基本的な対策 1.5.1 情報システムのセキュリティ要件
1.5.2 情報システムに係る規定の整備と遵守
政府機関統一基準の項目
政府機関統一基準に規定されている、基本遵守事項
(333項目)について、各府省庁における実施状況を調査
