情報セキュリティの観点から見た

(1)

情報セキュリティの観点から見た

我が国社会のあるべき姿及び政策の評価のあり方(案)

〜「セキュア・ジャパン」の実現に向けた情報セキュリティ政策のＰＤＣＡサイクル確立へ〜

年月日

情報セキュリティ政策会議了解（案）

資料２−３

(2)

ⅰ

はじめに

１．基本認識・問題意識

我が国の情報セキュリティ政策は、その基本理念や施策の方向性等をとりまとめた中長期計画である「第１次情報セキュリティ基本計画」と、２００６年度の年度計画である「セキュア・ジャパン２００６」が各々２００６年２月と６月に情報セキュリティ政策会議において決定された

¹

ことによって、計画枠組みの部分は機能し始めている。これにより、政府機関・地方公共団体、重要インフラ、企業、個人という幅広い主体における対策の向上と情報セキュリティ技術、人材といった横断的な基盤の形成のための各種施策が実施されつつある。こうした中長期的な計画と各年度における計画は、その計画年限に応じて見直しが行われるべきものであるため、

情報セキュリティ政策としての全体の枠組みを完成させるためには、計画自体の見直しも含めた運用サイクル（ＰＤＣＡサイクル

²

）を前もって形作っておくことが不可欠である。このため、情報セキュリティ政策について、サイクル完成に必要な要素、手段及び手続き等を明確にし、個別の取組みの改善と、政策全体の見直しを有機的に組み立てた体系を示すことが必要である。

以下の認識の下、情報セキュリティ政策会議は、今般、政府機関評価指標専門委員会、重要インフラ専門委員会、企業・個人評価指標専門委員会及び内閣官房情報セキュリティセンターの検討を踏まえ、

(i)

第１次情報セキュリティ基本計画及びセキュア・ジャパン２００６策定時に、克服・解決すべき対象として念頭に置いていた諸々の問題等のリスク、

(ii)

第１次情報セキュリティ基本計画の計画年限である２００９年の初めの時点で、政策の結果として描き出すことを目指した我が国社会のあるべき姿、

(iii)

合理性を持って情報セキュリティ政策の評価を行うための指標やそれを補完するための調査及びこれらにより把握した現状等の分析のあり方、

(iv)

評価指標等を用いた情報セキュリティ向上のための取組みの持続的改善のあり方等

についてとりまとめを行った。

1 第１次情報セキュリティ基本計画は、２００６年２月２日に情報セキュリティ政策会議で決定（参照：

http://www.nisc.go.jp/active/kihon/ts/bpc01̲a.html）。また、セキュア・ジャパン２００６は、２００６年６月１５日に政策会議で決定（参照：http://www.nisc.go.jp/active/kihon/pdf/sjf̲2006.pdf）。

2 ＰＤＣＡサイクルとは、計画（Ｐｌａｎ）、実施（Ｄｏ）、点検（Ｃｈｅｃｋ）、改善処置（Ａｃｔ）の各々の段階を経て、改めて計画（Ｐｌａｎ）に戻る自律的な政策推進サイクル。

(7)

２２．本文書の構成

本文書では、第１章において、情報セキュリティ政策の基本目標である「ＩＴを安心して利用できる環境（以下「ＩＴ安心利用環境」とする。）構築の必要性及びこれに向けたこれまでの取組みについて述べている。第２章においては、ＩＴ安心利用環境の構築に向けて情報セキュリティ政策のＰＤＣＡサイクルを構築することが重要であることを前提に、ＰＤＣＡの各段階において必要な要素について述べた。

具体的には、これまで、どういう方向性で何を行うかという「計画」は存在するものの、計画策定時にどのような「克服・解決すべき問題（リスク）」が存在するのかという点や、計画に基づいて取組みを行った結果、社会がどういう「姿」となるのかという点が明示的に記述されていなかったことを踏まえた上で、計画に基づいて取組みを行った結果を点検するための仕組みや、その結果を踏まえた取組みの持続的改善の手法の構築の必要性について述べている。

これを受けて第３章及び第４章においては、ＰＤＣＡの計画（Ｐｌａｎ）段階に相当する第１次情報セキュリティ基本計画とセキュア・ジャパン２００６の策定時に念頭に置いていた２００６年時のリスク及び２００９年時の我が国社会の姿について述べている。また、第５章においては、点検（Ｃｈｅｃｋ）段階で必要となる評価指標の設定や、評価指標の設定が容易でない場合等に行う補完調査、分析等について述べている。さらに、以上を踏まえて第６章においては、改善処置（Ａｃｔ）

段階として評価指標等を活用した持続的改善のあり方について述べている。

３．本文書の活用について

本文書は、情報セキュリティ政策会議決定文書「「セキュア・ジャパン」の実現に向けた取組みの評価等及び合理性を持った持続的改善の推進について」に基づいて、

内閣官房情報セキュリティセンター及び各府省庁が情報セキュリティ政策の評価等と持続的改善のための様々な取組みを実施していく際に、活用するためのものである。既に存在している第 1 次情報セキュリティ基本計画及びセキュア・ジャパン２００６と２００７年度以降の年度計画に加えて、上記決定文書及び本文書を活用することで、効果的かつ合理的な情報セキュリティ政策のＰＤＣＡサイクルを完成し、

我が国が真に、「情報セキュリティ先進国」になることを目指すこととしたい。

(8)

３

第１章情報セキュリティ政策の基本目標とこれまでの取組み

第１節情報セキュリティ政策の基本目標

１．ＩＴを安心して利用可能な環境（ＩＴ安心利用環境）の構築

第１次情報セキュリティ基本計画は、その基本理念において、

「利便性と情報セキュリティの両立」を図りつつ「ＩＴを安心して利用可能な環境（以下「ＩＴ安心利用環境」という。）の構築」を実現することで、情報セキュリティ施策が射程に入れるべき我が国の国家目標の実現を図る

としている。そしてそのためには、

「新しい官民連携モデル」を構築し、「対症療法的対応」から脱却しながら、

「資源の重点的・戦略的投入」を行い情報セキュリティ問題へ取り組んでいくことが必要

とし、その前提として、

「官民各主体の共通認識の形成」、「先進的技術の追求」、「公的対応能力の強化」及び「連携・協調の推進」が不可欠である

という形で、取組むべきことの枠組みが述べられている。

また、この「ＩＴ安心利用環境」は、高度情報通信ネットワーク社会形成基本法（ＩＴ基本法）第２２条において述べている趣旨とも共通のものであり、「ＩＴ新改革戦略」においても、今後のＩＴ政策の重点の一つとして、「ＩＴ基盤の整備

〜安心してＩＴを使える環境の整備」が挙げられている。

これらに示されるように、情報セキュリティ政策は、ＩＴ安心利用環境の構築を実現すべき基本目標としてとらえ、その実現が様々な国家目標の実現に貢献するという枠組みで進められつつある。したがって、情報セキュリティ関連施策の検討に当たっては、最終的にはＩＴ安心利用環境の構築という基本目標に立ち返る必要がある。

２．ＩＴ安心利用環境の有する意味

（１）国家目標実現への貢献

上述のように、ＩＴ安心利用環境は、その構築が国家目標の実現につながるものである。すなわち、ＩＴ安心利用環境は、経済大国日本の持続的発展、より良い国民生活の実現、安全保障における新たな脅威への対応等の国家目標実現に向けたＩＴ政策面における重要な媒体としての役割を果たす。

(9)

４

（２）事故、災害や攻撃等のＩＴ利用に付随する負の側面への対応

ＩＴ安心利用環境は、事実としてＩＴそのものが安全であるという客観的側面と、利用者が安全を実感しながらＩＴを利用できるという主観的側面の双方を有している。したがって、ＩＴ安心利用環境の構築に向けては、事故、災害や攻撃等のＩＴ利用に付随する負の部分に対して、以下のように客観的側面、

主観的側面の双方から対応することが必要である。

まず、客観面については、ＩＴ機器の供給者等によって事前に必要な対策がとられているということに加え、それでもなお問題が生じた場合に備えて事業継続性を担保する対策が行われているということが必要である。

また、主観面については、ＩＴ利用者が、ＩＴそのものが客観的に安全であるという環境・状態を理解し実感していることが必要であり、更に、事業継続性を担保する対策が行われているので、安心しながらＩＴを利用できる、ということも併せて理解し実感していることが必要である。

（３）ＩＴの有する正の効果の最大限の活用（技術発展、国際交流、文化創造等の促進）

ＩＴ安心利用環境の構築には、ＩＴ利用に付随する負の側面への対応ということ以上に、ＩＴを安心して活用できることで、ＩＴの持つ正の効果を更に促進するという狙いが込められている。

過去５年、１０年単位で見ても、ＩＴにおける様々な技術発展は社会経済活動や国民生活を大きく変えてきた。今後とも、これまで同様に社会を豊かにするようなＩＴに関する技術開発を促進することが必要となるが、これを前向きに進めるためには、ＩＴ安心利用環境を構築することが必要である。

また、ＩＴは国境を越えた交流を同時的に行うこと、すなわち物理的距離を越えた、音声から画像、映像までを含めたあらゆる手段による交流を従来よりも大幅に発展させ、遠距離間でのコミュニケーションに大きな変革をもたらした。今後も、ＩＴ安心利用環境の下でこそ、こうしたコミュニケーションの発達も更に加速化し得ることとなる。

さらに、ＩＴは、ネットワーク上に仮想の（バーチャルな）世界を形成することで、人々のコミュニケーションの新しい形態を創り出すなど、ＩＴを活用した独自の文化創造という恩恵も我々にもたらしている。こうした新たな文化創造が今後とも意欲的に行われるためにもＩＴ安心利用環境の構築は不可欠である。

(10)

５

第２節ＩＴ利用を取り巻く様々なリスクの存在とリスクの解決・克服によるＩＴ安心利用環境の実現

１．ＩＴ利用を取り巻く様々なリスクの存在

ＩＴ安心利用環境は、無条件に、また対策を行う様々な実施主体の努力なしで実現されるものではない。

ＩＴ利用に際しては(i)サイバー攻撃を受ける、情報漏えいが発生する、というようにＩＴ利用の安全性を担保・促進するために解決すべき個々の課題や、(ii) 個人の情報セキュリティに関する知識が不足している、情報セキュリティ対応を行う人員が不足している、被害が生じた際に対応が後手にまわる、情報セキュリティを意識しすぎる余り自由な利用が阻害されるなど、取組みを進めることで克服が求められる構造的課題といった、解決し、また克服しなければならない様々な課題、すなわちリスクが数多く存在している。つまり、ＩＴ利用は、組織・個人を問わず利用の過程で何らかの問題を引き起こす可能性があるリスクを、その利用者が意識しつつ、または無意識のうちに受け止めた上で行われている状態にある。

また、こうしたリスクは、同じものが固定的に存在しているわけでは必ずしもない。あるリスクを解決・克服したとしても、常に新しいリスクが生起しているために、ＩＴ利用者は常に何らかのリスクにさらされている状態にある。

２．ＩＴ利用時のリスクの解決・克服によるＩＴ安心利用環境の実現

ＩＴ利用が多くのリスクに囲まれているからといって、我々はその便益を捨てて、ＩＴ利用を限定したりＩＴ利用に反対する方向に進むべきではないし、それは実際、不可能である。毎日の生活での利用や政府・企業活動における取組み等、

社会に密接不可分な程度までＩＴが浸透している状況に鑑みると、その利用を制限・抑制する方向は現実的ではない。また、国民生活の基盤たる経済活動における国際競争力の源泉は、ＩＴ利用の巧拙に左右されている現実を踏まえれば、我が国のみがその利用を抑制し、それでも世界の中で生き延びるのは不可能である。

したがって、政府は我が国におけるＩＴ利用を引き続き促進すると同時に、ＩＴ利用者が日々生起するリスクについて十分認識できるよう、政策の企画・立案等の取組みを行うことが必要である。その上で、こうしたＩＴ利用のリスクに対して継続的取組みを行うことによって、認識されたリスクを受容可能な水準以下に管理し、このような営みを通じてＩＴ安心利用環境を構築していく必要がある。

(11)

６

第３節ＩＴ安心利用環境の構築に向けた我が国の取組み

こうした状況下、我が国では、ＩＴ安心利用環境の構築に向けた取組みが従来から行われてきたが、２００５年以降、大幅に強化され、以下のように進められてきた。

政府においては、関係各府省庁の取組みに加えて、それまでの内閣官房情報セキュリティ対策推進室を発展させる形で、２００５年４月に内閣官房情報セキュリティセンター（ＮＩＳＣ）（以下「情報セキュリティセンター」という。）が設置され、

同年５月には高度情報通信ネットワーク社会推進戦略本部（以下「ＩＴ戦略本部」

という。）の下に内閣官房長官を議長とする情報セキュリティ政策会議（以下「政策会議」という。）が設置された。その後、２００６年２月には第１次情報セキュリティ基本計画（以下「第１次基本計画」という。）の策定により、情報セキュリティ政策に係る基本的な理念や施策の方針等を定義する計画が策定された。

また、それに先立つ２００５年１２月に、情報セキュリティのための対策実施主体である政府機関・地方公共団体、重要インフラ、企業、個人のうち、特に喫緊の対応が必要とされ、かつ、公益性が高い政府機関及び重要インフラに関して、セキュリティ対策のための基準や行動計画等が策定されている。

政府機関に関しては、２００５年１２月に「政府機関の情報セキュリティ対策のための統一基準（以下「政府機関統一基準」という。）」が策定され、政府機関の情報セキュリティ向上に向けて恒常的に行うべき様々な取組みのＰＤＣＡサイクルを構築するべく、取組み基準等が策定された。また、重要インフラについては、同じく２００５年１２月に「重要インフラの情報セキュリティ対策に係る行動計画」が策定された。

こうした取組みを経て２００６年６月には、第１次基本計画に基づき一年ごとの実施施策をまとめあげた「セキュア・ジャパン２００６」が策定されている。

ＩＴ利用ＩＴ利用ＩＴ利用

リスクリスク

ＩＴ利用ＩＴ利用ＩＴ利用

リスク

リスクリスクリスク

ＩＴ利用ＩＴ利用ＩＴ利用 _{ＩＴ安心利用環境}ＩＴ安心利用環境

図１：ＩＴ安心利用環境のイメージ

(12)

７

第２章ＩＴ安心利用環境の構築に向けた情報セキュリティ政策に関するＰＤＣＡサイクルの確立

第１節ＰＤＣＡサイクルの確立の必要性

ＩＴ安心利用環境の構築に向けた情報セキュリティの取組みは一過性のものであってはならない。ＩＴ利用を取り巻くリスクは刻々と変わることから、その変化に即した形で情報セキュリティ政策も企画・実施していくことが不可欠である。

この観点から考えると、例えば基本的な施策の方向性等を示す情報セキュリティ基本計画（以下「基本計画」という。）については、一度計画を定めてこれを実施するだけでは足りない。取組み状況及びその評価を踏まえ、少なくとも一定期間毎に時宜に見合った見直しを行うことが必要である。

したがって、こうしたプロセスを構築するために、情報セキュリティ政策そのものについてのＰＤＣＡサイクルを確立するべきである。こうすることで、ＩＴ安心利用環境の構築に向けた情報セキュリティ政策の取組みについて、一つの計画作成から実施、評価、評価結果の次期新計画への反映及び取組みの改善を経て次の新計画を決定するという有機的なサイクルが完成することとなる。

第２節ＰＤＣＡサイクルの視点から取組みが欠けている部分とサイクル完成に必要な要素

１．基本的前提

我が国の情報セキュリティ政策は、２００６年度から２００８年度の３年間を対象とする第１次基本計画によって、その基本的な考え方や方針が定められている。対象期間が３年間とされているのは、２００６年度から２００８年度までという中長期の視点から見た継続的な取組みが必要である一方、ＩＴ利用を取り巻く環境が急速に変化しているためであり、その基本的なＰＤＣＡサイクル（以下

「基本サイクル」という。）についても、３年間とするよう設計がなされている。

また、基本計画の定める目標の実現に向けた施策を具体化するための年度計画が毎年策定されることとなっており、これにより、１年単位のＰＤＣＡサイクル

（以下「年度サイクル」という。）も組み込まれている。

２．ＰＤＣＡの段階ごとの確認

以下では、ＰＤＣＡサイクルの確立に向けて、ＰＤＣＡの各々の段階について、

現時点においてどのような取組みがなされているか、また、取組みが欠けている

場合はその部分に対し、どのような取組みが必要であるかについて述べる。

(13)

８

（１）計画（Ｐｌａｎ）段階

計画段階（Ｐ）

³

の作業は、中長期計画と年度計画を策定し、「何が必要か」、

「何を行うか」といった具体的な活動を定めることが中心となる。これについては、第１次基本計画と年度計画であるセキュア・ジャパン２００６の策定によって、おおむね実現されている。ただし、現在の状況では、計画の検討に際して前提としていたはずのリスク、要すれば、それが存在するが故に適切な対策を採ることを必要とする課題等が明示的に示されてはいない。また、これらは、リスクに対して適切な対策を継続的に実施することで、目標とする時期までに当該リスクを受容可能な水準に管理（解消・低減）することを念頭に置いて設計されたはずであるが、そのようになった状態、言い換えれば政策を計画にのっとって推進することで、リスクがどうなり、社会がどうなると考えられるのかを設定した姿や、対策を行った結果受容できるリスク水準、等についても明示的に記述されてはいない。

したがって、リスク及び姿を明示するために、リスクについては第３章で、

また姿等については第４章で述べる。

なお、基本サイクルも年度サイクルも出発点は２００６年度という同じ時点であり、また、年度サイクルは基本サイクルに基づいて構築されるものであるため、２００６年時点のリスクは両サイクルともに同じものである。

ただし、リスクは常に新しいものが発生していることに鑑みると、必ずしもリスクの認識が２００６年時点のまま続くわけではない。したがって、リスクについても少なくとも年度計画の策定と併せて見直しを実施していくことが不可欠であり、これについては、第３章第１節２．において述べる。また、リスクの変化に伴い、当然に将来の姿も変化し得ることとなる。これについては、

第４章第１節２．において述べる。

3 以下、ＰＤＣＡの各段階について、計画段階は「計画段階（Ｐ）」、実施段階は「実施段階（Ｄ）」、点検段階は「点検段階（Ｃ）」、改善処置段階は「改善処置段階（Ａ）」というように、ＰＤＣＡの文字を後ろに付ける形で標記する。

(14)

９

（２）実施（Ｄｏ）段階

基本サイクルでは、３年間で基本計画において目標とされた情報セキュリティ水準を実現するという目的の下、そのための実施の手段として年度計画が存在している。また、年度サイクルにおいては、基本計画の設定する目標の下、

実施の手段として毎年の年度計画に盛り込まれる施策が存在しており、これらを着実に進めることが求められている。

つまり、実施段階（Ｄ）は、既に進めることとされている施策の実施によって満たしていけることから、既存取組みで構造自体は完成している状態である。

（３）点検（Ｃｈｅｃｋ）段階

基本サイクルでは、第１次基本計画策定から３年後である２００９年時に、

リスクが「受容できる水準」に管理できていることが目標であり、これを点検できることが必要である。また、年度サイクルでは、情報セキュリティの対策状況が、１年ごとに着実に基本サイクルが目指す目標へと進んでいることが目標であり、これを点検できることが必要である。

しかし、情報セキュリティ政策に関する従来の取組みには、この点検段階で活用するための評価指標等が存在しておらず、点検をどう行うべきか具体的に示されていない。したがって、情報セキュリティ政策のＰＤＣＡサイクルを確立させるため、第５章において評価指標及び必要に応じて行われる補完調査等図２：情報セキュリティ政策のＰＤＣＡサイクルの計画段階

○基本理念

○政府機関、重要インフラ、企業、個人、分野横断的課題等について取り組むべき施策の方向性

第一次情報セキュリティ基本計画第一次情報セキュリティ基本計画

（２００６年度−２００８年度）

○具体的取組み施策セキュア・ジャパン

セキュア・ジャパン(年度計画(年度計画))

（毎年度）

○第一次情報セキュリティ基本計画の検討に際して前提としていた克服・解決すべき課題すなわちリスクを可視化

○可視化に際しては、基本的に基本計画の枠組みに沿った形で行う

２００６年時のリスク２００６年時のリスク

（可視化を図る）

○２００６年時のリスクに対して、

様々な取組みを行った結果、

２００９年時において我が国社会がどのような姿になっているかを明示

２００９年時の我が国社会の姿２００９年時の我が国社会の姿

（明示する）

情報セキュリティ政策のＰＤＣＡサイクルの計画段階の完成へ情報セキュリティ政策のＰＤＣＡサイクルの計画段階の完成へ

(15)

１０

について述べることとする。

（４）改善処置（Ａｃｔ）段階

改善処置段階（Ａ）については、ＩＴ安心利用環境の構築に向けた各種取組みの持続的改善を行うこと、そして改善を行いながら、現行基本計画が目標とする情報セキュリティ水準の達成を目指すとともに次期情報セキュリティ基本計画策定へとつなげていくことが目標である。こうした取組みの推進には、

点検段階（Ｃ）で評価指標を使いながら出てきた評価結果等を活用していくことが望ましいが、従来の情報セキュリティに関する取組みでは、このような持続的改善に向けた取組みをどのように行うか具体的に示されていない。

したがって、情報セキュリティ政策のＰＤＣＡサイクルを確立させるために、

第６章において評価指標等の運用、すなわち情報セキュリティ政策の評価指標等を活用した持続的改善のあり方について述べることとする。

改善処置（

改善処置（ACTACT））点検（

点検（CHECKCHECK））実施（

実施（DODO））計画（

計画（PLANPLAN））

【目標】ＩＴの安心利用可能な環境の構築

＝’06の「リスク」を解消低減した’09の「姿」

【手段】第１次基本計画

【

【目標目標】】ＩＴの安心利用可能な環境の構築ＩＴの安心利用可能な環境の構築

＝

＝’’0606の「リスク」の「リスク」をを解消低減した解消低減した’’0909の「姿」の「姿」

【

【手段手段】】第１次基本計画第１次基本計画

【目標】３年間で基本計画の目標を実現

【手段】 SJ2006など

（毎年の年度計画にもPDCAサイクル有り）

【

【目標目標】】３年間で基本計画の目標を実現３年間で基本計画の目標を実現

【

【手段手段】】 SJ2006SJ2006などなど

（毎年の年度計画にも

（毎年の年度計画にもPDCAPDCAサイクル有り）サイクル有り）

【目標】 ’09時に受容できるリスク水準に管理出来る基盤がある状態

【手段】評価指標、補完調査等(双方に活用)

【

【目標目標】】 ’’0909時に受容できるリスク水準に時に受容できるリスク水準に管理出来る基盤がある状態管理出来る基盤がある状態

【

【手段手段】】評価指標、補完調査等評価指標、補完調査等((双方に活用双方に活用))

【目標】第２次基本計画の策定、

情報セキュリティ水準の向上等

【手段】評価指標等を用いた持続的改善

【

【目標目標】】第２次基本計画の策定、第２次基本計画の策定、

情報セキュリティ水準の向上等情報セキュリティ水準の向上等

【

【手段手段】】評価指標等を用いた持続的改善評価指標等を用いた持続的改善

年度サイクル（１年）年度サイクル（１年）

基本サイクル（３年）

計画（

改善処置（

改善処置（ACTACT））点検（CHECK点検（CHECK））

実施（

実施（DODO））計画（

計画（PLAN計画（PLAN））実施（DO実施（DO））点検（

点検（CHECKCHECK））改善処置（

改善処置（ACTACT））

図３：情報セキュリティ政策のＰＤＣＡサイクル

(16)

１１

第３章２００６年時のリスクの認識

第１節リスクの可視化に関する基本的枠組み

１．基本的考え方

ここでは、第２章第２節２．（１）の視点に基づき、第１次基本計画及びセキュア・ジャパン２００６策定時に認識されていたものの明示されなかったリスクの可視化

⁴

を行う。つまり、これをもって、ＩＴ利用者が改めてリスクを明確に認識できることを目指す。具体的には、基本計画及び年度計画の枠組みに沿う形で、

２００６年時のリスクの可視化を行うことを原則とする。しかし、例えば政府機関や企業等、主体ごとに状況に違いも見られることから、柔軟に主体の特性等を考慮しながら述べることとする。

２．リスクの可視化（総論）とリスクの可視化（各論）の関係について

リスクの可視化に際しては、総論と、各対策実施主体などが直面し得る個々のリスク（各論）とを分けて考えることとする。では、これら総論と各論との関係は、どうなっているのであろうか。第１次基本計画では、大目標たる総論があり、

その下にこれらの大目標実現に向けて各対策実施主体などが取り組むべき施策が並べられている。これは逆に言うと、各種施策を行って対応していくべき個々の各論的なリスクへの対応を実現していくことで総論の目標が実現される、という関係になっている。つまり、各論的なリスクに対する着実な対応が積み重なることで、情報セキュリティ政策の大目標が実現され、総論的なリスクへの対応がなされることとなるのである。

各論分野についてのリスク認識は、第２節において可視化する。

３．リスクの認識の見直しメカニズム

リスクに関しては、随時変化が生じ得ることから、その認識についても随時見直しを行うことが不可欠である。そのため、政策会議は、新しいリスクについて、

次期基本計画策定に際して、また、少なくとも毎年の年度計画策定に際して可視化し、政策会議決定文書となるこれら次期新計画へ反映するよう努めることとする。

4 ２００６年時点のリスクについては、考えられるリスクの状態・状況がすべて現実に発生しているわけでは必ずしもないことを踏まえ、以下、リスクの可視化に際しては、総論、各論を問わず「・・・の可能性がある」という形で記述を行う。

(17)

１２第２節リスクの可視化（総論）

我が国情報セキュリティ政策の基本目標であるＩＴ安心利用環境の構築を目指す背景には、ＩＴ利用に関連し、我が国にとってどのような問題、すなわちリスクが存在するのであろうか。また、ＩＴ安心利用環境の構築を目指すに当たって、

その過程においてはどのようなリスクが存在するのであろうか。以下、基本計画策定時の背景としてのリスク認識という形で可視化を行う。

（１）我が国全体としてのリスク

（ア）ＩＴ利用の客観的・主観的信頼性⁵に関するリスク

１９９０年代後半以降、ＩＴの利用が爆発的に進展した結果、我が国がＩＴ先進国としての位置付けを得ている現在、日常生活のあらゆる局面においてＩＴへの信頼性が不可欠となっている。しかし、一方では大きな障害やサイバー攻撃等が発生する可能性が少なくないことも事実である。この場合、適切な対策の実施や事業継続性確保等の取組みが不十分であると、社会に多大な被害や損失が生じる可能性がある。また、これらの取組みを行った結果、安全にＩＴを利用できる環境が実現されたとしても、ＩＴ利用者が、その安全性を理解していないために、当該環境を使いこなすことができなかったり、ＩＴ利用者が、

安全性に関する確信を得ていないために、当該環境を使いこなそうとしないことによって、ＩＴへの信頼が揺らぐ可能性がある。つまり、ＩＴ利用の客観的・

主観的信頼性が確保できず、ＩＴのメリットを我が国国民が享受できなくなる可能性がある。

これを国家目標に係る様々な観点から見てみると、例えば、経済面では、国際競争が進むなか、我が国はモノづくりに代表されるような圧倒的な技術力に基づく伝統的強みに、更に知恵とノウハウの巧みさを効率的・効果的に付け加える情報経済の強化を実現することで、一層の経済発展を目指すことが不可欠となっている。にもかかわらず、情報セキュリティに関する取組みが不十分であるために情報経済の基盤であるＩＴの客観的・主観的信頼性が十分に確保されないと、こうした持続的経済発展が阻害される可能性がある。

また、国民生活面では、少子高齢化の進むなか、医療や福祉、教育、防災・

災害対策等、国民の日常生活に深く関連する分野において、ＩＴを活用した取組みが所与となっているのみならず、更にＩＴを効果的に利用して利便性・効

5 ここで、「ＩＴ利用の客観的信頼性」とはＩＴ利用に際して使用するＩＴ機器や、そのＩＴを利用する環境の安全性について信頼が出来ることを意味する。また、「ＩＴ利用の主観的信頼性」とは、ＩＴ利用者が、使用するＩＴ機器やＩＴ環境の安全性について信頼を持っていることを意味する（第１章第１節２．（２）参照）。

(18)

１３

率性を高めていく、すなわち生産性を改善していくことが重要な課題となっている。情報セキュリティ面で十分な対応を行って、ＩＴの客観的・主観的信頼性を維持・向上させることは、このようなＩＴによる生産性改善を担保するものであるが、十分な取組みがなされない場合、様々な社会的課題に着実に対応できず、より良い国民生活の実現ができなくなる可能性がある。

さらに、安全保障面では、近年、ＩＴを用いたサイバー犯罪やテロの脅威への対応に加えて、食糧、エネルギー、金融、財政等の分野におけるＩＴの利用拡大、すなわちこれらの分野での様々な活動においてＩＴが基盤化（インフラ化）していることを踏まえ、新たな脅威への対応が不可欠となっている。情報セキュリティ面での対応によって、ＩＴの客観的・主観的信頼性を維持・向上することは、これらの分野におけるインフラとしてのＩＴの利用を下支えするために必要不可欠であるが、これができない場合、国家としての存続にかかわる事態に至る可能性がある。

加えて、国際社会における国家の存在感（プレゼンス）にも大きな影響を及ぼす文化面では、近年、ＩＴを用いた新しいコミュニケーションの発達を例とする（ＩＴによる）文化創造、ＩＴを通じた我が国文化の世界への発信、更に、

ＩＴ技術のイノベーションに率先して取り組んで我が国の優れたＩＴ技術力という文化を世界に発信するような機会が増えてきている。つまり、ＩＴはその文化創造・発信機能によって我が国の存在感向上に大きく貢献している状況にある。情報セキュリティ対策の充実によるＩＴの客観的・主観的信頼性の維持・向上は、こうした文化の創造・発信のための当然の前提となるが、これができない場合、ＩＴそのものに不安感が生まれ、新たな文化活動等への取組みが阻害される可能性がある。

（イ）ＩＴ安心利用環境の構築への過程におけるリスク

こうしたリスクに対処してＩＴの客観的・主観的信頼性を維持・強化するために、ＩＴ安心利用環境の構築が求められているが、この構築の過程

⁶

においても、解決・克服が求められる様々なリスクが存在する。

第一に、ＩＴ安心利用環境の構築に向けた情報セキュリティに係る取組みは、

ＩＴの発展や実際にＩＴを利用する際に発生した問題に対して、多くの場合、

後追い的に対応を行うという受け身の対応であることが少なくない。しかし、

6ＩＴ安心利用環境の構築に向けては、官民のあらゆる主体が対応実施主体として情報セキュリティの取組みに関する共通意識を持ち、役割分担を行いながら対症療法的ではない対応を行うこと、すなわち「新たな官民連携モデル」を確立していくことが必要である（第１次情報セキュリティ基本計画参照）。

(19)

１４

それでは、情報セキュリティ対策は、顕在化した問題に対する対症療法にとどまりがちになり、結果として、特に新たな脅威への対応が後手にまわってＩＴ利用に係る被害が予想外に拡大する可能性がある。

第二に、ＩＴが社会に浸透した現在、ＩＴ利用の際に受けた被害が他の組織や他分野に大きな影響を及ぼす可能性が少なくない。しかし、ＩＴ利用者の視点から見ると、情報セキュリティは、自身の目に見える範囲の問題がとりあえず自身に降りかからないように対応しさえすれば良いものと映り、対策の取組みが各々の組織内の独自の対応に終始する可能性がある。このため、対策が狭あいな視野に立ったものとなって効果的な対応ができなかったり、被害が拡大する可能性がある。

加えて、第三に、情報セキュリティの対策を進めるに際しては、利便性との両立等のバランスの取れた対応が重要であるが、このバランスが適切でない可能性がある。すなわち、情報漏えいや不正行為等による被害といったＩＴ障害を警戒して情報セキュリティ対策を行うに際し、これが過剰であれば、情報セキュリティ対策そのものが自己目的化し、利用者の利便性が過度に損なわれる可能性がある。

（２）「新たな官民連携モデル」における対策実施主体ごとのリスク総論

基本計画における「新しい官民連携モデル」では、対策実施主体を政府機関・

地方公共団体、重要インフラ、企業、個人の四主体に分けて整理している。ここではこれら四主体に関し、主体ごとのリスクについて述べることとする。

政府活動のＩＴ化が進んだことによって国民の政府活動に対する信頼が揺らぐようなことがあってはならない。この意味で、政府機関における情報の取り扱いにおける信頼性の確保は極めて重要な課題である。また、近年では、電子政府構築の取組みが進められており、これらの機能に対する安全性・信頼性の維持が不可欠となっている。こうした中、例えば、外部脅威による攻撃、改ざん又は破壊等によって、政府機関の情報システムが機能不全を起こし、結果、

高い機密性を有する情報や、法令に基づき政府機関・地方公共団体が収集した個人や企業に関する情報の流出等の被害が発生したり、行政サービスのオンライン・サービスが停止する可能性がある。

もちろん、こうしたリスクは以前から想定されてきたものであるが、リスク

要因は常に変化することから、こうしたリスク以外にも以前は軽微なリスクと

(20)

１５

考えられていたものが大きな脅威へと変化する事態も発生しうる。したがって、

リスクの経時的変化に対しても常に一定水準のセキュリティを維持できるような持続的な取組みがなされないと、迅速かつ新たな対応ができない可能性もある。

重要インフラは、国民生活、社会経済活動の基盤であることから、サービスの安定的供給が最優先課題である。そのため、ＩＴ障害が発生しないような取組み、また発生しても被害が大きくならないような取組みがなされていることが必要である。

このような取組みは、一義的には各重要インフラ事業者等が担うべきものである。しかし、社会全体のＩＴへの依存が進む中で、日増しに増大していく各種脅威への対策は個々の取組みだけでは限界に達しつつあることから、分野横断的な取組みを含めた新たな官民の連携体制の下で取組みがなされないと、サービスの安定的供給を確保できなくなる可能性がある。

（ウ）企業

電子商取引の進展や業務自体のＩＴ化等により、我が国経済活動の重要な担い手である企業の活動も社会に及ぼす影響が従来より大きくなり得る状況にある。例えば、個人情報を含む情報資産は、コンピュータのハードディスク等の記録媒体により保管されており、紙による保管時に比べると、コピーや送付が簡単で、ネットワークの経由等により流出の危険性が高まっていると言える。

したがって、企業においても、その必要性に応じた情報セキュリティの取組みを行っていないと、企業一社で発生した情報セキュリティ上のトラブルがネットワークを通じて社会全体に波及する可能性がある。

（エ）個人

個人のＩＴ利用もネットワーク経由で行われていることから、たとえ認識不足等、悪意がない場合でも、十分な情報セキュリティ対策が行われていないことで社会的に大きな被害を発生させる可能性がある。

また、ＩＴに詳しくない個人のＩＴの利用に際して、個人では気付かないことや操作・対応が難しい部分等に関して、他の主体による助力が不十分であると、この個人に被害が発生するだけでなく、ネットワークでつながっている他の多数の個人等にも被害を及ぼす可能性がある。

(21)

１６第３節リスクの可視化（各論）

ここでは、基本計画を策定する際に認識していたリスク、すなわち、各対策実施主体が直面し得るリスク、問題の理解・解決を促進する主体の取組みを必要とさせるリスク及び横断的情報セキュリティ基盤の形成を必要とさせるリスクを基本計画の枠組みに従って整理する。

（１）各対策実施主体が直面し得るリスク

（政府機関統一基準とそれに基づく評価・勧告によるＰＤＣＡサイクルの構築）

政府機関の情報セキュリティ対策が、技術や環境の変化に対応しきれなければ、対策水準が国際水準に比べて低いものとなる可能性がある。また、２００５年１２月に政府機関統一基準が策定されたものの、省庁基準の策定（Ｐｌａｎ）と対策の実施（Ｄｏ）にとどまり、適切な点検（Ｃｈｅｃｋ）による状況把握・評価とそれに基づく改善処置（Ａｃｔ）まで着実に行うというＰＤＣＡサイクルが確立できない場合、情報セキュリティに関する被害が生じる可能性がある。さらに、策定された省庁基準に基づく対策の取組み水準についても、

府省庁ごとに大きな違いが生じる可能性がある。加えて、政府機関自身の対策のみを進めても、外部委託先のような政府機関外に起因する問題によって被害を受ける可能性がある。また、外部からの脅威のみに対応しても、内部からの脅威に対する認識と対応が不十分で被害が発生する可能性がある。

（中長期的なセキュリティ対策の強化・検討）

政府機関のセキュリティ対策が、対症療法的な脅威への対策に終始した場合、

情報システムの開発（導入）の段階を含む様々な面において先進的なセキュリティ技術の導入が遅れることや、また、政府機関横断的な視点で各機関が協力を行う取組みに欠けていることから、新たな脅威やより高度な脅威等に対して十分対応できない可能性がある。

（サイバー攻撃等に対する政府機関における緊急対応能力の強化）

政府内において、サイバー攻撃等への迅速かつ適切な緊急時の対応及び技術や環境への適応を実現するために必要となる情報共有や統一的な分析、対処を行う体制が存在しない又は存在しても機能しない場合、過去の緊急時等の対応から得られた知見が活用できず、同様の脅威によって被害を受ける可能性がある。また、新たな脅威に対しても予防的に対応を行えず被害を受ける可能性がある。

(22)

１７

（政府機関における人材育成）

政府が年々複雑化する情報セキュリティ問題に対応するための対策を進める際に、必要な知見や専門性を持った人材が確保できておらず、また、そもそも具体的な育成・確保のための戦略が立てられていない場合、対策が進まない可能性がある。また、政府機関において、情報セキュリティ担当者のセキュリティ意識が高くなっても、幹部を含めた職員一般の意識が低ければ、適切な情報セキュリティ対策が進められない可能性がある。

（独立行政法人等のセキュリティ対策の改善）

政府機関に近い独立行政法人等において十分な対策が行われていない場合、

情報セキュリティ面での被害が発生する可能性がある。

（地方公共団体・情報セキュリティ確保に関するガイドラインの見直し等）

各地方公共団体において、情報漏えい防止等のため取るべき対策や最近の技術的動向を踏まえた対策がなされていない場合、情報セキュリティに関する新たな脅威に対応できない可能性がある。

（地方公共団体・情報セキュリティ監査実施の推進）

地方公共団体において、当該団体の情報セキュリティに関する管理及び対策が適切に実施されているか否かが把握されていない場合、情報セキュリティ対策の実効性が確保されておらず、情報セキュリティに関する脅威に対応できない可能性がある。

（地方公共団体・「自治体情報共有・分析センター（仮称⁷）」の創設促進）

地方公共団体の情報セキュリティ対策に関し、情報の収集・分析・共有等が十分に行われていないため、情報セキュリティに関する脅威に適切に対応できない可能性がある。

（地方公共団体・職員の研修等の支援）

地方公共団体の職員が情報セキュリティに関し十分な知識と技能を備えていない場合、情報セキュリティ面での被害が発生する可能性がある。

（重要インフラにおける情報セキュリティ確保に関する「安全基準等」の整備）

各重要インフラ事業者等が、それぞれの重要インフラ事業分野毎に明示され

7自治体情報共有・分析センター（仮称）とは、地方公共団体の各種ＩＴ障害の情報や対策を地方公共団体間で共有することで、適切な予防及び復旧に役立てる仕組み。

(23)

１８

ている、必要な又は望ましい情報セキュリティ対策水準に沿った、自らの情報セキュリティ対策に対する自己検証が十分でない場合、多種多様な脅威を要因とするＩＴ障害が発生する可能性がある。

（情報共有体制の強化）

ＩＴ障害に関する情報に関して、官民の各主体間で情報共有、連絡・連携がなされていない場合、ＩＴ障害の未然防止、拡大防止・迅速な復旧、再発防止に十分対応できない可能性がある。

（相互依存性解析等の実施）

ある重要インフラ分野において生じたＩＴ障害が、他の重要インフラ分野にどのような影響を及ぼすかというＩＴ障害の相互依存性に関し、重要インフラ分野で適切な対応がなされていない場合、ＩＴ障害発生時の被害が拡大する可能性がある。

（分野横断的な演習等の実施）

対策の検証（分野横断的な演習等を通じた対策の検証や課題の抽出等）や見直し、さらなる強化に向けた取組みが、官民連携して継続的に行われない場合、

重要インフラにおける情報セキュリティ対策が向上しないため、ＩＴ利用の進展や拡大、ＩＴ障害を発生させる要因や脅威の変化に対応できずに、ＩＴ障害が発生する可能性がある。

（ウ）企業

（企業の情報セキュリティ対策が市場評価に繋がる環境の整備）

企業が各種の情報セキュリティ対策を行っても市場や取引相手、政府調達の入札元から加点評価の対象とならない等、事業利益を得ることが不可欠な企業にとって、情報セキュリティ対策を実施することが、市場との関係で誘引（インセンティブ）にならず、情報セキュリティ対策の実施が十分に進まない可能性がある。

（質の高い情報セキュリティ関連製品・サービスの提供促進）

供給される情報セキュリティ関連製品・サービスの質が、需要側である企業にとって十分に理解されないことにより、どの製品・サービスを選択して良いのかわからず、また、そのような状態で需要側が製品・サービスを導入しても、

需要側からは供給側に対して製品・サービスの問題点や改善点等がフィードバ

ックされないことから、結果として、情報セキュリティ関連製品・サービスの

質は向上せず、普及も進まない可能性がある。

(24)

１９

（企業における情報セキュリティ人材の確保・育成）

経営トップ等が情報セキュリティ確保を自社の中の優先順位として低く位置付けていることなどから、企業にとって必要な情報セキュリティ人材が不足し、また、情報セキュリティ担当者の意欲が低下し、結果として、企業の情報セキュリティ対策が進まない可能性がある。

（コンピュータウイルスや脆弱性等に早期に対応するための体制の強化）

政府等の関係機関による支援や情報関連事業者等の連絡体制が不十分であるため、コンピュータウイルスや脆弱性等を突いた攻撃など情報セキュリティ問題が発生した際に、企業において的確かつ迅速な対応ができない可能性がある。

（エ）個人

（情報セキュリティ教育の強化・推進）

個人が情報セキュリティ教育に接する機会が少なく、情報セキュリティを当たり前のこととして認識していないために、対策が遅れて情報セキュリティ被害が生じる可能性がある。

（広報啓発・情報発信の強化・推進）

個人が広報啓発・情報発信に接する機会が少なく、情報セキュリティを当たり前のこととして認識していないために、対策が遅れて情報セキュリティ被害が生じる可能性がある。

（個人が負担感なく情報関連製品・サービスを利用できる環境整備）

情報セキュリティ関連製品・サービスの利用方法が難しいことなどにより、

個人が製品やサービス利用に負担を感じ、結果的に利用しないことで、情報セキュリティ被害が生じる可能性がある。

（２）問題の理解・解決を促進する主体の取組みを必要とさせるリスク

情報セキュリティの観点から見た