情報セキュリティ
情報セキュリティ政策 政策・2007年度の評価等 ・2007年度の評価等に に 向けた 向けた
「 「 作業方針」 作業方針」 について について
資料4−1
2007年 2007 年10 10月 月3 3日 日
内閣官房情報セキュリティセンター(
内閣官房情報セキュリティセンター( NISC) NISC ) http://
http://www.nisc.go.jp www.nisc.go.jp / /
情報セキュリティ政策・評価等に向けた「作業方針」について 情報セキュリティ政策・評価等に向けた「作業方針」について
○情報セキュリティ政策の評価の枠組み文書※(平成19年2 月2日情報セキュリティ政策会議決定・了解)に基づき、
毎年の評価、補完調査、分析等の実施に向けて策定する もの
○「作業方針」には、
(1)評価指標の項目及び関係府省庁、
(2)補完調査の項目及び関係府省庁、
(3)分析課題及び分析方法
(4)評価等の実施に係るスケジュール、その他、評価 等を実施する上で必要となる事項
を盛り込む
○「作業方針」は、毎年概ね9月頃に内閣官房情報セキュリ ティセンターが策定し、各府省庁の協力を得て、翌年3月 頃まで評価、補完調査、分析等の作業を行う。
作業の結果については、評価文書としてとりまとめるととも に、以降の政策の企画・立案(翌年度セキュア・ジャパンや 次期基本計画の策定)等にも適宜活用する。
※「「セキュア・ジャパン」の実現に向けた取組みの評価及び 合理性を持った持続的改善の推進について(決定)」及び
「情報セキュリティの観点から見た我が国社会のあるべき 姿及び政策の評価のあり方(了解)」
ACT ACT
CHECK CHECK
DO DO PLAN PLAN
PLAN PLAN
作業方針
=PDCAサイク ルの下での
CHECK段階
に向けた方針(情報セキュリティ政策の
PDCA
サイクル)Copyright (c) 2007 National Information Security Center (NISC). All Rights Reserved. 2
評価指標に基づく評価等の基本的な枠組み 評価指標に基づく評価等の基本的な枠組み
【データ】
【評価結果及び 分析結果】
作 業 方 針 の 策 定
データの把握評価指標に基づく 補完調査 評価政 策 会 議 へ 報 告
改善に向けた取組み年度計画等への反映評価指標に基づく評価補完調査
情報セキュリティセンター(各府省庁が協力) 情報セキュリティ政策会議
NISC
年度計画
基本計画
︵必要に応じて︶分析 各府省庁
【調査結果及び 分析結果】
情報セキュリティ政策全体に関する2007年度の評価等の考え方 情報セキュリティ政策全体に関する2007年度の評価等の考え方
・
2007
年度の重点である「官民における情報セキュリティ対策の底上げ」の達成度を測る視点・情報セキュリティに係る
2007
年度の様々な動向を測る視点・2008年度の重点である「情報セキュリティ基盤の強化に向けた集中的な取組み」の具体化等に向けた助けとする視点
・様々な主体による情報セキュリティ政策(セキュア・ジャパン
2007
に基づく施策全般)の取組みの進捗、及びその結果 見られた情報セキュリティに係る動向の変化・内閣官房及び全府省庁
・セキュア・ジャパン2007に基づく取組みの進捗状況調査を行う(2007年9月及び2008年2月頃の2回)。
・その上で、
2006
年度の評価等に準じ、検討枠組み(図1)を活用して、2007
年度の情報セキュリティ政策の取組みの進 捗やその結果見られた社会情勢の変化などを分析。これに基づいて、政策全体に関する定性的な評価を行う。評価等の視点
評価対象
関係府省庁
評価方法
Copyright (c) 2007 National Information Security Center (NISC). All Rights Reserved. 4
情報セキュリティ政策全体の2007年度の評価等のための検討枠組み
情報セキュリティ政策全体の2007年度の評価等のための検討枠組み 【 【 図1 図1 】 】
横 断 的 基 盤 対 策 実 施 領 域
犯罪対策 国際連携
人材育成 技術戦略
個人 企業
重要インフラ 政府機関
総 評 SJ07の 取組みの進捗
周辺情勢
(インシデント・事件、市場 等)
物的側面
(投資、技術、
ハード、ソフト、
NW)
人的側面
(人、意識、体 制、制度)
社 会 情 勢
総 評 政 策 領 域
社会情勢等に 関する評価等
各 政 策 領 域 ご と の 評 価 等
政策全体の評価等政府機関対策の2007年度の評価等の考え方 政府機関対策の2007年度の評価等の考え方
・各府省庁個別及び政府全体という、政府機関の情報セキュリティ対策に係る2つのPDCAサイクルが着実に定着して いるのか確認を行うという視点
・(目標)2009年度において、政府機関対策統一基準の基本遵守事項について「実施率を100%」、「把握率を100
%」にすること
・内閣官房及び全府省庁(19府省庁)
・①重点検査(2回実施する(メールサーバ、端末・ウェブ)。 NISCへの報告は各々
2007
年11
月、2008
年5
月)政府統一基準の基本遵守事項の実施状況を確認し、必要に応じて改善を促すための評価として、対象を選定
・②対策実施状況報告(
2008
年2
月末にNISCへ報告)各府省庁の情報セキュリティ対策の実施状況について、
2006
年度に実施した評価手法を基本とし、効率化を図り つつ対象を拡大して評価(原則として全ての行政事務従事者を報告対象とする)・③情報セキュリティマネジメントの総合評価(
2008
年5
月にNISCへ報告)2006
年度に実施した評価手法を基本として、効率化を図りつつ評価(※ただし、重点検査の第2回目及びマネジメント評価は、公表が2008年7月になるため、2008年度の評価文書に内容を反映する)
評価等の視点(目標)
評価対象・関係府省庁
評価項目・評価方法
①重点検査
①重点検査 9月開始9月開始 →(11月頭回収)→→(11月頭回収)→ 12月公表12月公表 2月末開始2月末開始 →(5月回収)→7月公表→(5月回収)→7月公表
②マネジメント評価
②マネジメント評価 2月末開始2月末開始 →(5月回収)→7月公表→(5月回収)→7月公表
③実施状況報告(自己点検)
③実施状況報告(自己点検) 11月頭開始11月頭開始 →→ (2月末回収)→(2月末回収)→ 4月公表4月公表
Copyright (c) 2007 National Information Security Center (NISC). All Rights Reserved. 6
政府機関対策の2007年度の補完調査の考え方 政府機関対策の2007年度の補完調査の考え方
・①強化遵守事項等の実施状況調査(重点検査時(2007年11月、2008年5月にNISCへ報告)に実施)
・②各府省庁の情報セキュリティ対応体制、監査の実施状況等の調査(マネジメント評価時(2008年5月にNISCへ報告)に実施)
・③企業・個人との比較のための状況調査(マネジメント評価の調査の際に、調査表を各府省庁に配布し実施。2007年度の評 価等に係る文書の策定に間に合うタイミングで〆切を設定する(※))
・④社会的に問題となった情報セキュリティ上の課題に対応するための緊急調査(緊急事態の発生時に実施)
・①については、対策上、情報セキュリティ対策上重要な事項に関する状況の把握等を行い、今後の政府機関統一基 準の見直し等に反映するため
・②については、対応体制や監査の実施状況などマネジメント体制等を把握することで、十分な情報セキュリティ対策 の実現に向けた課題の抽出・分析を行うため
・③については、政府機関との比較により、企業・個人が必要な対策の検討に資するため(※)
・④については、社会的に問題となった情報セキュリティ上の突発的事項に関する政府横断的な課題への迅速な対応 等のため
・ 各府省庁の負担にならないよう重点検査やマネジメント評価で調査する項目に補完調査項目を追加する形で実施する
(但し、緊急調査は緊急事態の発生時に必要な項目について行う)
補完調査項目
趣旨
調査方法調査方法
・内閣官房及び全府省庁(19府省庁)
評価対象・関係府省庁
※ ③の詳細は13ページを参照
重要インフラ対策の2007年度の評価等の考え方 重要インフラ対策の2007年度の評価等の考え方
・セキュアジャパン
2007
に盛り込まれた4本の施策の柱の取組みが着実に進んでいるか、取組みのプロセスを測るという 視点・(目標)「
2009
年度始めには重要インフラにおけるIT障害の発生を限りなくゼロにする」状況へ近づけていくこと・重要インフラ行動計画で定めた4本の施策の柱に基づき、セキュアジャパン2007に盛り込まれた2007年度の取組みの 進捗度合い
評価の視点(目標)
評価対象
評価方法
・内閣官房及び重要インフラ所管省庁(金融庁、総務省、厚生労働省、経済産業省、国土交通省)
関係府省庁
・行動計画で定めた4本の施策の柱それぞれについて、各年度の目標(具体的取組み)ごとの進捗状況を、各重要インフ ラ分野の協力も得つつ、内閣官房において把握し取りまとめる
・なお、各年度ごとの目標は、実際のIT障害の発生状況等も踏まえながら、行動計画に掲げられている取組みの着実な進 捗を確保することに留意しつつ、重要インフラ専門委員会で検討
(「重要インフラ分野における情報セキュリティ対策向上の取組みについて」(2006年11月27日)参照)
Copyright (c) 2007 National Information Security Center (NISC). All Rights Reserved. 8
重要インフラ対策の2007年度の補完調査の考え方 重要インフラ対策の2007年度の補完調査の考え方
・① 行動計画に定める4本の施策の柱に関して参考となるデータの推移 【図2参照】
・② 07年度に実際に発生した個別のIT障害等のケースの検証
・内閣官房及び重要インフラ所管省庁(金融庁、総務省、厚生労働省、経済産業省、国土交通省)
補完調査項目
関係府省庁
調査方法
・参考となるデータの推移によって取組みの浸透を確認し、個別のIT障害等の検証によって現実のリスクとそれに対す る対応の状況の変化を見ることで、重要インフラの情報セキュリティ対策を進めた結果、生じた変化を重要インフラ総 体的に把握。(4本の施策の柱の)評価結果と組み合わせることで、
09
年度の具体的目標にどれだけ近付けたかを把 握するため・行動計画の見直しに当たって活用できる有効なデータを把握するため 趣旨
・「参考となるデータの推移(①)」 については、各重要インフラ分野の協力も得ながら、事業者等へのアンケートその他 の方法により把握・集計を行い、内閣官房において取りまとめる
・「個別のIT障害等のケースの検証(②)」については、情報セキュリティ対策の状況の把握や向上に資すると考えられる ケースを内閣官房において選択し、アンケートや聞き取りなどの方法により各重要インフラ分野の協力を得ながら検証
重要インフラ対策の補完調査で把握するデータ
重要インフラ対策の補完調査で把握するデータ 【図2 【 図2】 】
1.安全基準等の整備の状況について 1.安全基準等の整備の状況について
Ⅰ.各分野における安全基準等の認知率(A/α)
Ⅱ.各分野における安全基準等の見直し率(B/A )
α:回収データ数
A:認知していると回答した事業者等の数
B:安全基準等を踏まえ見直しを行ったと回答した事業者等の数
※ なお、
NISC
において検証する際の参考として、回収率(α/α´)を把握。α´:調査協力を求めた事業者等の数
取り得る具体的調査方法も踏まえ、各分野における状況を把握する上で適切な調査範囲を設定。
例:全事業者、○○加入者、任意抽出など。
Ⅰ.情報提供の件数
「実施細目」に規定する「情報提供」の件数(試験・訓練を含む。)
Ⅱ.CEPTOARを構成する事業者の数 2.情報共有体制の強化の状況について 2.情報共有体制の強化の状況について
※ なお、
NISC
において検証する際の参考として、構成事業者の分野における位置付けを把握。3.相互依存性解析の実施、分野横断的な演習の実施の状況について 3.相互依存性解析の実施、分野横断的な演習の実施の状況について 解析及び演習に要した年間延べ時間および延べ参加者数
セ プ タ ー
Copyright (c) 2007 National Information Security Center (NISC). All Rights Reserved. 10
参考:重要インフラ対策の評価と補完調査の関係 参考:重要インフラ対策の評価と補完調査の関係
具体的目標
「
2009
年度初めには、重要イン フラにおけるIT障害の発生を限りなくゼロにする」
・IT障害の発生を可能な限り未 然に防止
・IT障害が発生した際の影響を 可能な限り極小化
【4本の施策の柱】
・安全基準等の整備
・官民の情報共有体制の強化
・相互依存性解析の実施
・分野横断的演習の実施
具体的目標
「
2009
年度初めには、重要イン フラにおけるIT障害の発生を限りなくゼロにする」
・IT障害の発生を可能な限り未 然に防止
・IT障害が発生した際の影響を 可能な限り極小化
【4本の施策の柱】
・安全基準等の整備
・官民の情報共有体制の強化
・相互依存性解析の実施
・分野横断的演習の実施
「行動計画」に基づく取組み
2007 2008 2009
(プロセス)評価
2006
SJ 2007
(プロセス)評価
【評価】
【補完調査】
①参考となるデータの推移の捕捉(図2の指標を活用)
②実際に発生したIT障害等のケースの検証
※実際に発生したIT障害やITの機能不全等のうち、要因や対応等を把握・検証 することで重要インフラにおける情報セキュリティ対策の状況の把握や向上に 資すると考えられるケースについて、各重要インフラ分野の協力を得て検証。
【具体的取組み】 【具体的取組み】
行動計画に基づき、09年度における「具体的目標」の達成に向けて毎年の具体的取組みを進めた結果、
[1]毎年の具体的取組みが着実に予定どおり進んだか評価を行う 【重要インフラ対策の評価】 とともに、
[2] ①指標に基づき、参考となるデータの推移を捕捉し、
②実際に当該年度に発生したIT障害等のケースの検証を行う 【補完調査】
その上で、これら[1]「2]を総合的に見ることで、どの程度「具体的目標」に近づいたかを検証する
行動計画に基づき、09年度における「具体的目標」の達成に向けて毎年の具体的取組みを進めた結果、
[1]毎年の具体的取組みが着実に予定どおり進んだか評価を行う 【重要インフラ対策の評価】 とともに、
[2] ①指標に基づき、参考となるデータの推移を捕捉し、
②実際に当該年度に発生したIT障害等のケースの検証を行う 【補完調査】
その上で、これら[1]「2]を総合的に見ることで、どの程度「具体的目標」に近づいたかを検証する
SJ 2006
企業・個人対策の2007年度の評価等の考え方 企業・個人対策の2007年度の評価等の考え方
・「企業全体」及び「個人全体」の現状について、 「第1次情報セキュリティ基本計画」(平成18年2月2日情報セキュリ ティ政策会議決定、以下「基本計画」とする)に掲げられた目標にどこまで近づいたかを測る視点
・なお、評価にあたっては、評価の枠組み文書で明らかにした、具体的な数値を把握するための既存の指標について、
その数値が具体的目標の達成に向けて推移しているか否かに着目する(単年度の数値の増減にのみ着目するので はなく、数年間の数値の傾向について、社会背景等も適宜加味しつつ分析)
・行政活動により提供されたモノやサービスの量等、対策の浸透度を測るための指標として「アウトプット指標」を設定。
基本計画で明らかにされている重点政策毎に評価指標を設定し、評価を実施する
・行政活動の結果、国民生活や社会生活に及ぼされる効果を測る指標として「アウトカム指標」を設定。「意識面」、「対 策面」、「インシデント・対策の発生面」の三つの評価指標を設定し、評価を実施する
・具体的な指標と、既存のデータに基づいて、その数値が指標毎に設定された具体的目標の達成に向けて推移している かを把握することにより、指標毎に評価
・指標毎の評価を実施後、その内容を踏まえ、「企業全体」及び「個人全体」について、第1次基本計画に掲げられた目標 にどこまで近づいたか評価
(なお、評価対象機関が2006年度までのデータについては、その推移から2007年度の状況を推測する方法を併せて用いる)
評価の視点
評価項目(評価指標)
評価方法
・企業・個人の情報セキュリティ対策実施状況の把握に有益な既存データを有する府省庁と連携 関係府省庁
Copyright (c) 2007 National Information Security Center (NISC). All Rights Reserved. 12
○ (各指標毎に性質を異にするため、目標については個別具体的に検討することになるが、)大まかな傾向 としては、各指標を「意識に関する指標」「対策に関する指標」「インシデント又は犯罪の被害に関する指標」
に分類、以下のとおり目標を設定することとする。
・ ・・・ 各統計を経年で観察し、それが増加(若しくは減少)傾向で推移することを目標 とする。究極的には、ほぼ100%(若しくは0%)になることを志向する
(例)情報セキュリティ上のトラブルの重要性の認識
・・・ 各項目について、「非常に重要である」と回答する者の割合が増加傾向で推移することを目標とする。究極的には、
ほぼ100%になることを志向する。
・ ・・・ パソコンを利用する者なら誰でも取るべき対策に関する統計については、各 統計を経年で観察し、増加傾向で推移することを目標とする。究極的には、ほ ぼ100%になることを志向する。
体制整備状況を表す指標については、一定規模・一定数が維持されることを 目標とする
(例)ウィルス対策ソフト導入率
・・・ 「9割以上のパソコンに導入済」と回答する者の割合が増加傾向で推移することを目標とする。究極的には、
ほぼ100%になることを志向する
(例)ISMS認証の取得事業者数
・・・ 取得事業者数が一定の水準で増加することを目標とする
・ ・・・ 各統計を経年で観察し、減少傾向で推移することを目
標とする。究極的には0に限りなく近づくことを志向
(例)過去1年間の情報セキュリティに関する被害状況(企業)
・・・ 各項目について、減少傾向で推移することを目標とする、究極的には、0%に限りなく近づくことを志向する
(※ 第13回情報セキュリティ政策会議資料(平成19年8月3日開催)参照)
参考:企業・個人分野における具体的目標の設定 参考:企業・個人分野における具体的目標の設定
意識に関する指標意識に関する指標
対策に関する指標対策に関する指標
インシデント又は犯罪の被害に関する指標インシデント又は犯罪の被害に関する指標
企業・個人対策の2007年度の補完調査の考え方 企業・個人対策の2007年度の補完調査の考え方
・電子政府の利用、活用、運用の状況に関する情報セキュリティの観点からの調査
・政府機関が企業・個人から調達する製品・サービスに対する要求水準や選定プロセスの妥当性の確認調査
・政府機関が企業に外部委託する際の委託先管理の適切性の確認
・内閣官房及び全府省庁に調査(大まかな状況を把握することが目的であることから、「本省」レベルを対象)
・政府機関対策関連の調査の際に、調査表を各府省庁に配布し、調査を実施。
2007
年度の評価等に係る文書の策定に 間に合うタイミングで〆切を設定する補完調査項目
関係省庁
調査方法
・ユーザーである国民が電子政府のサービスを利用するに際して、政府機関と企業等との情報セキュリティの現状を比 較できるようにし、企業等の対策推進に貢献させるため
・政府機関が企業・個人から製品・サービスを調達し、また企業・個人へ外部委託する際の、情報セキュリティの観点か らの取組みの進展を把握することで、我が国の企業・個人分野のセキュリティの取組みの進捗に貢献させるため
(但し、過度な負担の生じないような調査であるべきことに留意する)
趣旨
Copyright (c) 2007 National Information Security Center (NISC). All Rights Reserved. 14
横断的な情報セキュリティ基盤に関する2007年度の補完調査の考え方 横断的な情報セキュリティ基盤に関する2007年度の補完調査の考え方
・横断的な情報セキュリティ基盤4分野の補完調査については、現時点では、特段具体的な調査テーマを設定せず、
補完調査の必要性が生じた時点で、実施を検討することとする
・なお、補完調査の実施の必要性が出てきた際には、個々の調査毎に関係府省庁と調整を行って実施する
・内閣官房及び当該補完調査テーマに関係の深い府省庁 補完調査項目
関係府省庁
全体のスケジュール 全体の スケジュール
07
年9
月10
月11
月12
月08
年1
月2
月3
月4
月5
月6
月7
月 8月
全体
政府 機関
重要 インフラ
企業・個人
その 他
重
評価
07
等・ 作 業方針策定 評価
07
等・ 作
業方針策定
重 マ 対
評価結果や調査結果等のとりまとめ︑分析など 評価結果や調査結果等のとりまとめ︑分析など
︵ S
J
08
政策会議決定︶︵ S
J
08
政策会議決定︶評価結果や調査結果︑分析等の政策会議報告︑
︵ S J
08
パ ブコ メ案 決 定︶
評価結果や調査結果︑分析等の政策会議報告︑
︵ S J
08
パブコ
メ案
決 定
︶
評価・調査に係る作業(全分野) 評価08へ
随時、必要な既存データ等を把握
進 進
進 (セキュアジャパン
2007
の進捗調査) 重 (重点検査) 対 (対策実施報告) マ (マネジメント評価)補
補 (補完調査)
