資料３−１ 

資料３−１ 

情報セキュリティ基本問題委員会  第１ 分科会（政府機能・役割検討分科会） 

中間報告の概要 

2004年9月6日  

０．本中間報告の位置付け 

○ 情報セキュリティ基本問題委員会第１分科会は、基本問題委員会の付託により、先ず 最も喫緊に着手し、解決しなければならない課題として、「情報セキュリティ問題にお ける政府の機能と役割」について短期間に集中的に審議を行っているもの。

○ 本中間報告は、当分科会が、本年8月6日の設置以来３回にわたる議論の経過を中 間報告の形でとりまとめ、基本問題委員会に報告することとしたもの。

○ 今回の中間報告では、当分科会に与えられた「情報セキュリティ問題における政府の 機能と役割」についての検討を行うにあたっての、基本的な問題点の認識と考え方を 整理した上で、国全体として統一性のある情報セキュリティ政策・施策の推進と政府自 身の情報セキュリティ対策の強化を図る観点から、以下の３つのテーマについて、具 体策を展開。

(1) 政府の情報セキュリティ政策・施策実施体制のあり方 (2) 有効性の高い政府自身の情報セキュリティ対策のあり方

(3) 情報セキュリティに関する国家的拠点の強化の必要性とその方策のあり方

○ 今後、当分科会としては、基本問題委員会からの指摘を受け、10月末までにさらに検 討を加え、最終報告を行う予定。 

１．基本的な考え方

○ 現在から３年後、すなわち２００７年中までに実現すべきプランとして構成することを目 指す。 

○ 現在の政府における情報セキュリティへの取り組みは、一言でまとめると場当たり的で 各府省庁バラバラな対応という表現に尽きる。各府省庁での取り組みを充実させると 共に、府省庁横断の視点を持ち整合性、網羅性、合理性に十分配慮した政府全体の 政策・施策の設計と実行が必須。 

○ 情報セキュリティの取り組みでは、情報システムやネットワークの構築後に情報セキュ

リティを勘案すること（「後付け」型）は困難であり、本来情報システムやネットワークを 構築する時点で情報セキュリティを組み入れた設計を行うこと（「ビルトイン」型）が強く 望まれる。 

○ このプランを真に実現可能とするためには、各府省庁が持つ役割と機能を最大限活 用し、できる限り短期間にあるべき状態に移行するための、具体的な移行プロセス設 計をより詳細に検討する必要がある。 

２．具体化の方策   

２．１  政府の情報セキュリティ政策・施策実施体制のあり方 

２．１．１  情報セキュリティ政策・施策の実効性及び統一性確保等のための措置   

○ 情報セキュリティ政策・施策推進においては、関連政策・施策を遂行すべき府 省庁が個別に必要な施策を実行し、政府全体として、限られた資源を適正配分 する機能がない等の問題点を解消するため、以下の方策を講じるべき。

¾ 以下の機能を有する「情報セキュリティ政策会議（仮称）」を設置。内閣官 房内に事務局を設置。

— 「情報セキュリティ政策会議（仮称）」は、政府における情報セキュリティ 政策・施策及び政府の情報セキュリティ対策に関する措置について一 元的に取り扱い、中長期的な「基本計画」（グランドデザイン）を策定す る。加えて、「基本計画」に基づいた「基本方針」を毎年度定めるととも に、年度途中でも「基本方針」の変更を行うことのできる枠組みを構築 する。

— 「情報セキュリティ政策会議（仮称）」は、その「基本計画」及び「基本方 針」に基づき、各府省庁の関連施策を評価。

— その際、我が国の情報セキュリティ確保に必要な重要事項に係る政 策・施策を総合的に推進する予算として「情報セキュリティ推進調整費

（仮称）」を新設。

— 「情報セキュリティ政策会議（仮称）」は、毎年度、実施された施策につ いてのチェック＆レビューを行い、「基本計画」及び「基本方針」の改定 に反映。

２．１．２  研究開発・技術開発の方向付けを行う構造のあり方       

○ 情報セキュリティ技術開発に対する投資結果を直接政府が使うことができてお らず、実用化まで含めた技術開発投資がなされていないという点や、情報セキ

ュリティ関連研究は高い先端性と網羅性の確保が重要であるにもかかわらず、

学術研究からの視点だけで配分されている等の問題点を解消するため、以下 に挙げるものを中心とした方策を講じるべき。

¾ 「情報セキュリティ政策会議（仮称）」（2.1.1参照）において、情報セキュリテ ィに関する研究開発・技術開発の有効性検証と、研究開発した成果を政府 内部で使うためのフレームワークを設定。

¾ 現在の科学研究費補助金制度や科学技術振興調整費などの公的研究助 成資金を見直し、情報セキュリティ領域での投資方針と評価の一本化を行 い、効率の良い研究投資を実現する体制を設立。

¾ 技術の利用方策、普及方策についての開発を実施。

２．２  有効性の高い政府自身の情報セキュリティ対策のあり方 

２．２．１  政府統一的な安全基準の策定と評価   

○ 内閣官房による各府省庁に対する脆弱性検査（平成16年3月3日発表）の結 果からも、「セキュリティ水準の高い府省庁と低い府省庁の格差が大きい」、「内 部からの侵入等に対して脆弱」といった結果が出ている。各府省庁における情 報セキュリティ対策には不十分な点が露呈しているとの問題点を解消するため、

以下の方策を講じるべき。

¾ 内閣官房が主導し、政府全体としての情報セキュリティ水準の向上を図る ため、以下を実施。

— 内閣官房が、政府として統一的な安全基準を策定。

— 策定した安全基準に基づき、内閣官房が政府統一的な情報セキュリ ティ監査及び評価を実施。

— 内閣官房は、評価結果に基づいた各府省庁の対策促進への勧告権 を持つとともに、適切な対策を講じるための予算措置の手当を実施

（2.2.2参照）。

¾ 「情報セキュリティ政策会議（仮称）」（2.1.1参照）における対策予算の評価 の実施（2.2.2参照）。

２．２．２  対策のための予算措置 

○ 各府省庁が情報セキュリティ対策を講じようとしても、適切な予算措置の手当が なく、かつ、情報セキュリティ対策は危機管理の側面も持ち機動的に講じること が不可欠である中で、年度途中での支出等が困難な状況にある。一方で、予 算査定を行う過程での、情報セキュリティへの危機意識と専門性の高い人材が

不足している等といった問題点を解消するため、以下の方策を講じるべき。

¾ 内閣官房は、情報セキュリティの専門性（技術的な専門性と組織運営（セ キュリティマネジメント等）などの関連領域の専門性）が全体として確保され る多彩な人材を配置。その上で、上記2.2.1の統一的な安全基準に基づく 監査の結果及び評価の結果に基づいた各府省庁への対策促進の勧告権 を持つとともに、必要な予算措置を手当（2.2.1参照）。

¾ 「情報セキュリティ政策会議（仮称）」（2.1.1参照）における対策予算の評価 の実施。 

２．２．３  政府の対策のための情報収集・分析（インシデントレスポンスを含む） 

○ 政府が情報セキュリティ対策を講じるための脆弱性情報や脅威情報等の早期 情報収集とその分析の強化、国際的な一元的かつ迅速な対応の推進を行うた め、以下の方策を講じるべき。

¾ NIRT（緊急対応支援チーム）の機能を継承し、さらに新たな課題に取り組 むことが可能な母体を設立。

— 各府省庁の対策促進

z 各府省庁が運用しているシステムの運用状況モニタリング z 事故発生時の対応支援（情報収集・分析・調整）

z 事故調査（原因究明・対策の共有化）

z 事故発生時の事業継続支援（計画策定、技術サポート等）

z 事故からの回復支援（バックアップセンター等）

— 各府省庁との連携を強化するため、各府省庁の担当職員の一部がリ エゾンとして活動。

— 官 民 連 携 （ 情 報 セ キ ュ リ テ ィ 関 係 事 案 対 応 機 関(JPCERT/CC、

Telecom-ISAC、IPA、NiCT 等)や製品開発者などとの連携）の強

化。

— 日本政府としての国際インタフェース。

¾ あらかじめ定められたインシデントレスポンスに関するガイドラインに従った 運用の実施。

¾ 省庁IRT（インシデント・レスポンス・チーム）の編成促進

¾ 各府省庁が行う安全なシステム設計の支援 ２．２．４  政府職員の人材育成・人材確保   

○ 政府としての情報セキュリティ対策を一体的に進めていこうとしても、必要な知 見や専門性を有する人材は政府内で偏在かつ限定されており、育成の体系も

整備されていない等の問題点を解消するため、以下の方策を講じるべき。

¾ 「情報セキュリティ専門職」のキャリアパスを新設するとともに、内閣官房は 同職に必要な専門性を養成するための研修を実施。各府省庁は、「情報 セキュリティ専門職」に内閣官房との連絡・調整のほか、情報セキュリティ対 策に係る一定の権限を付与。

¾ 情報セキュリティ対策モデル事業の実施。

¾ 教育母体（大学を中心）での人材育成の取り組みを体系化するとともに、

「情報セキュリティ奨学金（仮称）」創設等を実施。

２．３  情報セキュリティに関する国家的拠点の強化の必要性とその方策のあり方   

２．３．１  情報セキュリティに関する国家的拠点の強化の必要性

○ 現在の内閣官房情報セキュリティ対策推進室では、上記2.1及び2.2の方策を 実効性を持って実施するための、(1)人的資源（室員17名（常勤13名、非常勤 4名））、(2)予算ともに不足しているため、以下の方策を講じるべき。

¾ 上記2.1及び2.2を実施するための中核的機関として、内閣官房情報セキ ュリティ対策推進室を強化・発展した形で、以下の機能を有する「国家情報 セキュリティセンター（仮称）」を内閣官房に置く。

— 情報セキュリティ緊急時において、以下の権能を有する。

z 事故関連情報等の情報収集／対処・復旧支援 z 国全体に対する警報

— 緊急事態の予防保全を行うために以下の機能を有する。

z 情報セキュリティ関連事案等の情報収集・分析（2.2.3参照）

z 政府統一的基準の策定とそれに基づく監査及び評価の実施

（2.2.1参照）

z 政府職員の人材育成・国全体の普及啓発（2.2.4参照）

z 緊急時対応演習

z 戦略企画部門（「情報セキュリティ政策会議（仮称）」の事務局）

（2.1.1参照）

z 事故調査（2.2.3参照）

z 各府省庁における安全なシステム設計の支援(2.2.3参照)

— 各府省庁の担当職員の一部を、リエゾンとして内閣官房に併任し、「セ ンター」の一員とする（2.2.3参照）。

— 「センター」員には、「情報セキュリティ専門職」（2.2.4 参照）及び民間 に存在する優秀な人材を積極登用すると共に、一般公務員に比べて も高い機密性の保持等が要求されることを規定化。

２．３．２  実効性確保のための法制的措置の必要性 

○ 2.1及び2.2の方策を具体化するに当たり、（１）内閣総理大臣（内閣官房）と各 省大臣がどのように責任と権限を分配し機能するかという点、(2)政府と民間主 体（重要インフラなど）との関係について、法制的措置が必要な部分を検討。

○ 例えば、以下のような点について検討。

¾ 「情報セキュリティ緊急時」に内閣官房（総理大臣）が特別に持てる権能と して、以下を規定する。

— 事故関連情報等の情報収集／対処・復旧支援

— 国全体に対する警報

¾ 緊急事態の予防保全のために、内閣官房が各府省庁に対して、1)統一的 な安全基準の策定、2)基準に基づく監査及び評価の実施、3)監査及び評 価の結果に基づく対策促進の勧告権を持つことを法定。

以上 

情報セキュリティ基本問題委員会第１分科会委員名簿 

（政府機能・役割検討分科会） 

稲垣  隆一  弁護士 

宇賀  克也  東京大学法学部教授 

大木栄二郎  IBM ビジネスコンサルティング株式会社チーフセキュリティオフィサー  佐々木良一  東京電機大学工学部教授 

土居  範久（座長）  中央大学理工学部教授 

中尾  康二  KDDI 株式会社技術開発本部情報セキュリティ技術部長  夏井  高人  弁護士／明治大学法学部教授 

松尾  明  中央青山監査法人代表社員  三輪  信雄  株式会社ラック代表取締役社長