情報セキュリティ
情報セキュリティ 政策 政策 ・200 ・200 8年度の評価等 8 年度の評価等に に向けた 向けた
「 「 作業方針」 作業方針」 について について
資料5−1
2008 200 8年 年12 12月 月10 10日 日
内閣官房情報セキュリティセンター(
内閣官房情報セキュリティセンター(NISC NISC) ) http://
http://www.nisc.go.jp www.nisc.go.jp/ /
情報セキュリティ政策全体に関する評価等の考え方 情報セキュリティ政策全体に関する評価等の考え方
・「情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方」(以下「評価のあり方」という
。)において「2009年時の我が国のあるべき姿」 として「基本計画」の各政策に対応して掲げられたそれぞれの目標 の達成度
・様々な主体による情報セキュリティ政策(「セキュア・ジャパン2008」に掲げる施策全般)の取組みの進捗状況及び その結果見られた情報セキュリティに係る動向の変化
・本年度中に策定する評価等の「作業方針」に基づき、具体的な評価指標の設定、補完調査等を実施。また、過去2 年間の評価等結果とも比較を行い、 「2009年時の我が国のあるべき姿」各項目がどの程度実現されたかを評価す るとともに、未達成の事項や想定外の状況などから今後の課題を抽出する。
・「セキュア・ジャパン2008」に基づく取組みについて、年2回(2008年9月及び2009年2月頃)の進捗状況調査を実 施し、過去2年間の評価等に準じ、検討枠組み(別図)により、2008年度の施策の進捗状況やその結果による社会 情勢の変化等を分析する。また、進捗が遅れている施策等から課題を抽出する。
評価等の視点
評価対象
評価方法
・「第1次情報セキュリティ基本計画」(以下「基本計画」という。)に掲げる政策について、計画期間(2006年度〜
2008年度)全般の成果を測るとともに、次期基本計画における課題を明らかにする視点
・2008年度の重点である「情報セキュリティ基盤の強化に向けた集中的な取組み」に係る各種施策の達成度を測る とともに、情報セキュリティに係る動向を分析し、2009年度の重点設定に資する視点
結果の活用
・結果については、「セキュア・ジャパン2009」(仮称)策定時に基礎資料として活用し、政策に反映する。
【データ】
評価 ︵必要に応じて︶分析
【評価結果及び 分析結果】
作 業 方 針 の 策 定
データの把握評価指標に基づく 補完調査政 策 会 議︵ 報告︶
改善に向けた取組み年度計画への反映評価指標に基づく評価補完調査
情報セキュリティセンター(各府省庁が協力) 情報セキュリティ政策会議
NISC
「セキュア・ジャパン2009」
(仮称)
各府省庁
【調査結果及び 分析結果】
評価指標に基づく評価等の基本的な枠組み 評価指標に基づく評価等の基本的な枠組み
次期基本計画の
下での年度計画
情報セキュリティ政策・評価等に向けた「作業方針」について 情報セキュリティ政策・評価等に向けた「作業方針」について
○情報セキュリティ政策の評価の枠組み文書
※(平成19年2月2 日情報セキュリティ政策会議決定・了解)に基づき、毎年の評 価、補完調査、分析等の実施に向けて策定するもの
○「作業方針」には、
(1)評価指標の項目及び関係府省庁
(2)補完調査の項目及び関係府省庁
(3)分析課題及び分析方法
(4)評価等の実施に係るスケジュール、その他、評価 等を実施する上で必要となる事項
を盛り込む
○「作業方針」は、毎年概ね9月頃に内閣官房情報セキュリ ティセ ンターが策定し、各府省庁の協力を得て、翌年3月頃まで評価、
補完調査、分析等の作業を行う。
作業の結果については、評価文書としてとりまとめるとともに、以 降の政策の企画・立案(翌年度セキュア・ジャパンや次期基本計 画の策定)等にも適宜活用する。
※「「セキュア・ジャパン」の実現に向けた取組みの評価及び合理 性を持った持続的改善の推進について(決定)」及び
「情報セキュリティの観点から見た我が国社会のあるべき姿及 び政策の評価のあり方(了解)」
ACT ACT
CHECK CHECK
DO DO PLAN PLAN
PLAN PLAN
作業方針
=PDCAサイク ルの下での
CHECK段階
に向けた方針(情報セキュリティ政策の PDCA サイクル)
情報セキュリティ政策全体の200
情報セキュリティ政策全体の200 8 8 年度の評価等のための検討枠組み 年度の評価等のための検討枠組み 【 【 図1 図1 】 】
横 断 的 基 盤 対 策 実 施 領 域
犯罪対策 国際連携
人材育成 技術戦略
個人 企業
重要インフラ 政府機関
総 評
SJ08の 取 組みの進捗
周辺情勢 (イン シデント・事件、市場等)
物的側面 (投 資、技術、ハード、
ソフト、NW)
人的側面 (人、
意識、体制、制
社 度)
会 情 勢
総 評 政 策 領 域
社会情勢等に 関する評価等
各 政 策 領 域 ご と の 評 価 等
政策全体の評価等政府機関対策の200
政府機関対策の2008 8年度の評価等の考え方 年度の評価等の考え方
・各府省庁個別及び政府全体という、政府機関の情報セキュリティ対策に係る2つのPDCAサイクルが着実に定着して いるのか確認を行うという視点
・(目標)2009年度において、政府機関対策統一基準の基本遵守事項について「実施率を100%」、「把握率を100
%」にすること
・内閣官房及び全府省庁(19府省庁)
・①重点検査(端末・ウェブサーバ、メールサーバ)。 NISCへの報告は 2008 年 12 月)
政府統一基準の基本遵守事項の実施状況を確認し、必要に応じて改善を促すための評価として、対象を選定
・②対策実施状況報告( 2009 年 2 月末にNISCへ報告)
各府省庁の情報セキュリティ対策の実施状況について、 2007 年度に実施した評価手法を基本とし、6月に NISC から示した方針に 基づき効率化を図りつつ対象を拡大して評価(原則として全ての行政事務従事者を報告対象とする)
・③情報セキュリティマネジメントの総合評価( 2009 年1月にNISCへ報告)
2006 年度に実施した評価手法を基本として、効率化を図りつつ評価
評価等の視点(目標)評価対象・関係府省庁
評価項目・評価方法
①重点検査
①重点検査 7月開始7月開始 →(1→(12月回収)→2月回収)→ 2月公表2月公表
②マネジメント評価
②マネジメント評価 8月開始8月開始 →(→(11月回収)→月回収)→44月公表月公表
③実施状況報告(自己点検)
③実施状況報告(自己点検) 6月開始6月開始 →→ (2月回収)→(2月回収)→ 4月公表4月公表
政府機関対策の200
政府機関対策の2008 8年度の補完調査の考え方 年度の補完調査の考え方
・①強化遵守事項等の実施状況調査(重点検査時に実施)
・②各府省庁の情報セキュリティ対応体制、監査の実施状況等の調査
・③社会的に問題となった情報セキュリティ上の課題に対応するための緊急調査(緊急事態の発生時に実施)
・①については、対策上、情報セキュリティ対策上重要な事項に関する状況の把握等を行い、今後の政府機関統一基 準の見直し等に反映するため
・②については、対応体制や監査の実施状況などマネジメント体制等を把握することで、十分な情報セキュリティ対策 の実現に向けた課題の抽出・分析を行うため
・③については、 DNS キャッシュホイズニングの脆弱性への対応等、社会的に問題となった情報セキュリティ上の突発的事項に 関する政府横断的な課題への迅速な対応等のため
・ 各府省庁の負担にならないよう重点検査やマネジメント評価で調査する項目に補完調査項目を追加する形で実施する
(但し、緊急調査は緊急事態の発生時に必要な項目について行う)
補完調査項目
趣旨
調査方法調査方法
・内閣官房及び全府省庁(19府省庁)
評価対象・関係府省庁
重要インフラ対策の200
重要インフラ対策の200 8年度の評価等の考え方 8 年度の評価等の考え方
・セキュアジャパン 2008 に盛り込まれた4本の施策の柱の取組みが着実に進んでいるか、取組みのプロセスを測るという 視点
・(目標)「 2009 年度始めには重要インフラにおけるIT障害の発生を限りなくゼロにする」状況へ近づけていくこと
・重要インフラ行動計画で定めた4本の施策の柱に基づき、セキュアジャパン2008に盛り込まれた2008年度の取組みの 進捗度合い
評価の視点(目標)
評価対象
評価方法
・内閣官房及び重要インフラ所管省庁(金融庁、総務省、厚生労働省、経済産業省、国土交通省)
関係府省庁
・行動計画で定めた4本の施策の柱それぞれについて、各年度の目標(具体的取組み)ごとの進捗状況を、各重要インフ ラ分野の協力も得つつ、内閣官房において把握し取りまとめる
・なお、各年度ごとの目標は、実際のIT障害の発生状況等も踏まえながら、行動計画に掲げられている取組みの着実な進 捗を確保することに留意しつつ、重要インフラ専門委員会で設定
(「重要インフラ分野における情報セキュリティ対策向上の取組みについて」(2006年11月27日)参照)
重要インフラ対策の200
重要インフラ対策の200 8年度の補完調査の考え方 8 年度の補完調査の考え方
・① 行動計画に定める4本の施策の柱に関して参考となるデータの推移 【図2参照】
・② 2008 年度に実際に発生した個別のIT障害等のケースの検証
・内閣官房及び重要インフラ所管省庁(金融庁、総務省、厚生労働省、経済産業省、国土交通省)
補完調査項目
関係府省庁
調査方法
・参考となるデータの推移によって取組みの浸透を確認し、個別のIT障害等の検証によって現実のリスクとそれに対する対応の 状況の変化を見ることで、重要インフラの情報セキュリティ対策を進めた結果、生じた変化を重要インフラ総 体的に把握。(4本の 施策の柱の)評価結果と組み合わせることで、 2009 年度の具体的目標にどれだけ近付けたかをより的確に捉えるため
・次期行動計画の取組みを進める際に活用できる有効なデータを把握するため
趣旨・「参考となるデータの推移(①)」 については、各重要インフラ分野の協力も得ながら、事業者等へのアンケートその他の方法により 把握・集計を行い、内閣官房において取りまとめる
・「個別のIT障害等のケースの検証(②)」については、情報セキュリティ対策の状況の把握や向上に資すると考えられるケースを内
閣官房において選択し、アンケートや聞き取りなどの方法により各重要インフラ分野の協力を得ながら検証
重要インフラ対策
重要インフラ対策に関する「あるべき姿」の評価 に関する「あるべき姿」の評価の考え方 の考え方
・重要インフラ対策における「あるべき姿」は、「(2009年度初めには) IT 障害の発生を限りなくゼロにする」ことであり、この 目標に対して重要インフラ分野の情報セキュリティに係る状況が着実に近づいているかを測る
・評価等に当たっては、4本の施策の柱それぞれについて、2006年度〜2008年度に得られた「進捗状況の評価」、「補 完調査により得られたデータの推移」及び「補完調査による個別のIT障害等の検証の結果」をNISCが総合的に見ることに より行う
評価等の視点
評価等の方法
・重要インフラ行動計画の4本の施策の柱(安全基準等の整備、情報共有体制の強化、相互依存性解析の実施、分野横断的な 演習の実施)に基づく取組みの進捗を対象とする
評価の対象
重要インフラ対策の補完調査で把握するデータ
重要インフラ対策の補完調査で把握するデータ 【図2 【 図2】 】
1.安全基準等の整備の状況について 1.安全基準等の整備の状況について
Ⅰ.各分野における安全基準等の認知率( A /α)
Ⅱ.各分野における安全基準等の見直し率(B/A )
α:回収データ数
A:認知していると回答した事業者等の数
B:安全基準等を踏まえ見直しを行ったと回答した事業者等の数
※ なお、
NISC
において検証する際の参考として、回収率(α/α´)を把握。α´:調査協力を求めた事業者等の数
取り得る具体的調査方法も踏まえ、各分野における状況を把握する上で適切な調査範囲を設定。
例:全事業者、○○加入者、任意抽出など。
Ⅰ.情報提供の件数
「実施細目」に規定する「情報提供」の件数(試験・訓練を含む。)
Ⅱ.CEPTOARを構成する事業者の数 2.情報共有体制の強化の状況について 2.情報共有体制の強化の状況について
※ なお、
NISC
において検証する際の参考として、構成事業者の分野における位置付けを把握。3.相互依存性解析の実施、分野横断的な演習の実施の状況について 3.相互依存性解析の実施、分野横断的な演習の実施の状況について 解析及び演習に要した年間延べ時間および延べ参加者数
セ プ タ ー
※1.安全基準等の整備の状況については、2007年度の評価の際の課題を踏まえて運営サイクルの調整を図り、
調査時期を2009年度の前半としているため、その評価については、2009年度の評価に係る文書に内容を反映する。
参考:重要インフラ対策の評価と補完調査の関係 参考:重要インフラ対策の評価と補完調査の関係
行動計画に基づき、09年度における「具体的目標」の達成に向けて毎年の具体的取組みを進めた結果、
[1]毎年の具体的取組みが着実に予定どおり進んだか評価を行う 【重要インフラ対策の評価】 とともに、
[2] ①指標に基づき、参考となるデータの推移を捕捉し、
②実際に当該年度に発生したIT障害等のケースの検証を行う 【補完調査】
その上で、これら[1]「2]を総合的に見ることで、どの程度「具体的目標」に近づいたかを検証する
行動計画に基づき、09年度における「具体的目標」の達成に向けて毎年の具体的取組みを進めた結果、
[1]毎年の具体的取組みが着実に予定どおり進んだか評価を行う 【重要インフラ対策の評価】 とともに、
[2] ①指標に基づき、参考となるデータの推移を捕捉し、
②実際に当該年度に発生したIT障害等のケースの検証を行う 【補完調査】
その上で、これら[1]「2]を総合的に見ることで、どの程度「具体的目標」に近づいたかを検証する
具体的目標
「
2009
年度初めには、重要イン フラにおけるIT障害の発生を限りなくゼロにする」
・IT障害の発生を可能な限り未 然に防止
・IT障害が発生した際の影響を 可能な限り極小化
【4本の施策の柱】
・安全基準等の整備
・官民の情報共有体制の強化
・相互依存性解析の実施
・分野横断的演習の実施
2007 2008 2009
プロセス評価 SJ2006
2006
SJ2007
プロセス評価
【評価】
【補完調査】
①参考となるデータの推移の捕捉
②実際に発生したIT障害等のケースの検証
※実際に発生したIT障害やITの機能不全等のうち、要因や対応等を把握・検証 することで重要インフラにおける情報セキュリティ対策の状況の把握や向上に 資すると考えられるケースについて、各重要インフラ分野の協力を得て検証。
【具体的取組み】 【具体的取組み】
プロセス評価 SJ2008
【具体的取組み】
「行動計画」に基づく取組み
企業・個人対策の200
企業・個人対策の2008 8年度の評価等の考え方 年度の評価等の考え方
・「企業全体」及び「個人全体」の現状について、 「第1次情報セキュリティ基本計画」(平成18年2月2日情報セキュリ ティ政策会議決定、以下「基本計画」とする)に掲げられた目標にどこまで近づいたかを測る視点
・なお、評価にあたっては、評価の枠組み文書で明らかにした、具体的な数値を把握するための既存の指標について、
その数値が具体的目標の達成に向けて推移しているか否かに着目する
(単年度の数値の増減にのみ着目するので はなく、数年間の数値の傾向について、社会背景等も適宜加味しつつ分析)・行政活動により提供されたモノやサービスの量等、対策の浸透度を測るための指標として「アウトプット指標」を設定。
基本計画で明らかにされている重点政策毎に評価指標を設定し、評価を実施する
・行政活動の結果、国民生活や社会生活に及ぼされる効果を測る指標として「アウトカム指標」を設定。「意識面」、「対 策面」、「インシデント・対策の発生面」の三つの評価指標を設定し、評価を実施する
・具体的な指標と、既存のデータに基づいて、その数値が指標毎に設定された具体的目標の達成に向けて推移している かを把握することにより、指標毎に評価
・指標毎の評価を実施後、その内容を踏まえ、「企業全体」及び「個人全体」について、第1次基本計画に掲げられた目標にどこまで 近づいたか評価
(なお、評価対象機関が2007年度までのデータについては、その推移から2008年度の状況を推測する方法を併せて用いる)
評価の視点
評価項目(評価指標)
評価方法
・企業・個人の情報セキュリティ対策実施状況の把握に有益な既存データを有する府省庁と連携
関係府省庁○ (各指標毎に性質を異にするため、目標については個別具体的に検討することになるが、)大まかな傾向としては、
各指標を「意識に関する指標」「対策に関する指標」「インシデント又は犯罪の被害に関する指標」に分類、以下のとお り目標を設定することとする。
・ ・・・ 各統計を経年で観察し、それが増加(若しくは減少)傾向で推移することを目標 とする。究極的には、ほぼ100%(若しくは0%)になることを志向する
(例)情報セキュリティ上のトラブルの重要性の認識
・・・ 各項目について、「非常に重要である」と回答する者の割合が増加傾向で推移することを目標とする。究極的には、
ほぼ100%になることを志向する。
・ ・・・ パソコンを利用する者なら誰でも取るべき対策に関する統計については、各 統計を経年で観察し、増加傾向で推移することを目標とする。究極的には、ほ ぼ100%になることを志向する。
体制整備状況を表す指標については、一定規模・一定数が維持されることを 目標とする
(例)ウィルス対策ソフト導入率
・・・ 「9割以上のパソコンに導入済」と回答する者の割合が増加傾向で推移することを目標とする。究極的には、
ほぼ100%になることを志向する
(例)ISMS認証の取得事業者数
・・・ 取得事業者数が一定の水準で増加することを目標とする
・ ・・・ 各統計を経年で観察し、減少傾向で推移することを目
標とする。究極的には0に限りなく近づくことを志向
(例)過去1年間の情報セキュリティに関する被害状況(企業)
・・・ 各項目について、減少傾向で推移することを目標とする、究極的には、0%に限りなく近づくことを志向する
(※ 第13回情報セキュリティ政策会議資料(平成19年8月3日開催)参照)
参考:企業・個人分野における具体的目標の設定 参考:企業・個人分野における具体的目標の設定
意識に関する指標意識に関する指標
対策に関する指標対策に関する指標
インシデント又は犯罪の被害に関する指標インシデント又は犯罪の被害に関する指標
企業・個人対策
企業・個人対策 に関する に関する 2008 200 8年度の 年度の評価等の 評価等の考え方 考え方
・電子政府の利用、活用、運用の状況に関する情報セキュリティの観点からの調査
・政府機関が企業・個人から調達する製品・サービスに対する要求水準や選定プロセスの妥当性の確認調査
・政府機関が企業に外部委託する際の委託先管理の適切性の確認
・内閣官房及び全府省庁に調査(大まかな状況を把握することが目的であることから、「本省」レベルを対象)
・政府機関対策関連の調査の際に、調査表を各府省庁に配布し、調査を実施。 2008 年度の評価等に係る文書の策定に 間に合うタイミングで〆切を設定する
補完調査項目
関係省庁
調査方法
・ユーザーである国民が電子政府のサービスを利用するに際して、政府機関と企業等との情報セキュリティの現状を比 較できるようにし、企業等の対策推進に貢献させるため
・政府機関が企業・個人から製品・サービスを調達し、また企業・個人へ外部委託する際の、情報セキュリティの観点か らの取組みの進展を把握することで、我が国の企業・個人分野のセキュリティの取組みの進捗に貢献させるため
(但し、過度な負担の生じないような調査であるべきことに留意する)
趣旨
・「あるべき姿」に照らし、その姿への達成度を測る上で有用と思われる既存データの数値を踏まえ、情報セキュリティに係 る動向や社会的変化があるべき姿にどの程度近づけたかという点に着目して行う
「あるべき姿」の評価
横断的な情報セキュリティ基盤に関する200
横断的な情報セキュリティ基盤に関する200 8年度の 8 年度の評価等 評価等の考え方 の考え方
・横断的な情報セキュリティ基盤4分野の補完調査については、現時点では、特段具体的な調査テーマを設定せず、
補完調査の必要性が生じた時点で、実施を検討することとする
・なお、補完調査の実施の必要性が出てきた際には、個々の調査毎に関係府省庁と調整を行って実施する
・内閣官房及び当該補完調査テーマに関係の深い府省庁
あるべき姿の評価 関係府省庁
・ 4 分野それぞれについて、3年間の取組みの最終的な結果から、「あるべき姿」の達成度について評価を行う。また、その 際、極力既存の関係する指標を活用する
補完調査項目
全体のスケジュール 全体の スケジュール
08 年
9 月 10 月 11 月 12 月
09 年
1 月 2 月 3 月 4 月 5 月 6 月 7 月 8
月
全体
政府 機関
重要 インフラ
企業・個人
その他
重
評価
08
等・ 作
業方針策定 評価
08
等・ 作
業方針策定
マ 対
評価結果や調査結果等のとりまとめ︑分析など 評価結果や調査結果等のとりまとめ︑分析など
︵ S
J
09
政策会議決定︶︵ S
J
09
政策会議決定︶評価結果や調査結果︑分析等の政策会議報告︑
︵ S J
09
パブコ
メ案
決 定
︶
評価結果や調査結果︑分析等の政策会議報告︑
︵ S J
09
パブコ
メ案
決 定
︶ 評価・調査に係る作業(全分野)
随時、必要な既存データ等を把握
進 進
進 (セキュアジャパン2008の進捗調査) 重 (重点検査) 対 (対策実施報告) マ (マネジメント評価)
補
補 (補完調査)
