政府の危機管理

(1)

平成23年5月25日

独立行政法人情報処理推進機構

セキュリティセンター

新たな政府統一基準群の改定と

(2)

2 内閣官房を中心に関係省庁も含め横断的に整備

議長

内閣官房長官

議長代理

内閣府特命担当大臣（科学技術政策）

構成員

国家公安委員会委員長

総務大臣

経済産業大臣

防衛大臣

小野寺

正

ＫＤＤＩ株式会社代表取締役社長兼会長

黒川

博昭

富士通株式会社相談役

土屋

大洋

慶應義塾大学大学院准教授

野原

佐和子

株式会社イプシ・マーケティング研究所代表取締役社長

前田

雅英

首都大学東京法科大学院教授

村井

純

慶應義塾大学教授

情報セキュリティ政策の枠組みと推進体制

政府機関（各府省庁）

内閣官房情報セキュリティセンター

(NISC)

センター長（官房副長官補（安危））

副センター長（内閣審議官）２名

内閣参事官６名

情報セキュリティ補佐官

（アドバイザー）

３名

本部長

内閣総理大臣

副本部長

内閣特命担当大臣（科学技術政策）

内閣官房長官

総務大臣

経済産業大臣

本部員

本部長及び副本部長以外のすべての国務大臣

民間有識者（８人）

高度情報通信ネットワーク社会推進戦略本部（

IT

_IT

戦略本部）

情報セキュリティ政策会議

（

2005

年５月

30

30 日

日

ＩＴ戦略本部長決定により設置）

内閣官房ＩＴ担当室

室長（官房副長官補（内政））

警察庁

協力

４省庁

防衛省

総務省

経済産業省

（サイバー犯罪の取締り）

（国の安全保障）

（通信・ネットワーク政策）

（情報政策）

個人

企業

協力

重要インフラ事業者等

重要インフラ所管省庁

その他の

関係省庁

金融庁（金融機関）

総務省（地方公共団体、情報通信）

厚生労働省（医療、水道）

経済産業省（電力、ガス）

国土交通省（鉄道、航空、物流）

その他

文部科学省（セキュリティ教育）等

（事務局）

閣僚が参画

（事務局）

重要インフラ専門委員会

技術戦略専門委員会

CISO等連絡会議

(3)

各府省庁

■

「政府機関の情報セキュリティ対策のための統一基準」を策定し、政府全体の情報セキュリティ水準の向上を図る

「政府機関の情報セキュリティ対策のための統一基準」

■

各政府機関は本基準を踏まえて対策を実施し、

ＮＩＳＣが対策実施状況を検査・評価

■

その結果に基づき、

情報セキュリティ政策会議が改善を勧告

情報セキュリティ政策会議

内閣官房

情報セキュリティセンター

（

NISC

_NISC

）

・政府機関統一基準の策定

・各府省庁の評価結果に

基づき改善を勧告

・政府機関統一基準

に基づき、省庁対策

基準の見直し

対策実施状況の

検査・評価

NISCが各府省庁の対策実施状況を

検査・評価し、その結果を情報セキュ

リティ政策会議が改善を勧告する。

(ここが足りない、不十分である)

（過去）

省庁対策基準

（現在）

省庁対策基準

甲省庁甲省庁情報セキュリティ対策の不備

政府機関統一基準に

準拠した見直し

① 政府機関統一基準による省庁対策基準の補完

現在の最低水準

② 各府省庁の情報セキュリティ水準の向上

（過去）

（現在）

_より高い水準を確保 A省庁 B省庁 C省庁 D省庁 E省庁 F省庁 A省庁 B省庁 C省庁 D省庁 E省庁 F省庁水準の底上げ最低限求められる水準情報セキュリティ水準情報セキュリティ水準

政府機関統一基準に

準拠した見直し

政府機関統一基準

各府省庁が最低限採るべき情報セ

キュリティ対策を定めたもの。

改善勧告

政府機関の情報セキュリティ対策（政府機関統一基準）

ＰＤＣＡ

情報セキュリティ

対策推進会議

（ＣＩＳＯ等連絡会議）

(4)

4 ○ 政府統一基準については、第4版の策定から約2年が経過し、環境の変化への適切な対応が必要。

・情報セキュリティ上のリスクが、多様化・高度化、複雑化しており、従来の取り組みでは情報セキュリ

ティの確保が困難な状況が発生。

・各府省庁が能動的なPDCAサイクルを円滑に実施するためには、各府省庁の職員における情報セ

キュリティの知識向上が必要。

・クラウド技術への対応、ウェブ等の外部からの不正アクセスにかかる対応など、外的な環境変化への

対応が必要。

など

１．

統一管理基準と統一技術基準への分離

２．

教育・人材育成の充実

３．

クラウド技術への対応

４．

ウェブ等の外部からの不正アクセスに係る対応

５．

情報システムのセキュリティ強化に係る対応

統一管理基準及び統一技術基準への改定のポイント

新たな政府統一基準群改定の背景と改定の概要

統一管理基準及び統一技術基準への改定の背景

新たな政府統一基準群への再編等を実施し、

第26回情報ｾｷｭﾘﾃｨ政策会議で決定。

（平成23年4月21日）

(5)

統一規範

統一管理基準

統一技術基準

統一基準

現行の政府ポリシー

政府基本方針

新たな政府ポリシー

政策会議決定

ＣＩＳＯ会議決定

全体を

「統一基準群」

法律・政令に

相当する関係

文

書

従来

新たな体制

決定機関

1 情報セキュリティ基本方針

政府基本方針

政府機関の情報ｾｷｭﾘﾃｨ対策のための統一規範

政策会議

2 情報セキュリティマネジメントの指針

統一基準運用指針

政府機関の情報ｾｷｭﾘﾃｨ対策における政府機関統一管理基準及

_{び政府統一技術基準の策定と運用等に関する指針}

政策会議

3 情報セキュリティポリシー（基本編）

統一基準

政府機関の情報ｾｷｭﾘﾃｨ対策のための統一管理基準

政策会議

4 情報セキュリティポリシー（技術編）

統一基準

政府機関の情報ｾｷｭﾘﾃｨ対策のための統一技術基準

CISO等連絡会議

統一基準運用指針

（運用枠組を示す）

統一基準運用指針

新たな政府統一基準群の体制について

(6)

政府統一基準群における認証製品調達検討の義務化について

政府機関の情報セキュリティ対策のための統一管理基準

（抜粋）

平成23年4月21日情報セキュリティ政策会議決定

■情報システムのセキュリティ要件

【基本遵守事項】

情報システムセキュリティ責任者は、構築する情報システムの構成要素のうち製品として調達する機器及び

ソフトウェアについて、

IT セキュリティ評価及び認証制度に基づく認証取得製品

を調達する必要性の有無を

検討し、必要があると認めた場合には、当該製品の分野において要求するセキュリティ機能を満たす採用候

補製品が複数あり、その中に要求する評価保証レベルに合致する当該認証を取得している製品がある場合

において、当該製品を情報システムの構成要素として選択すること。

【強化遵守事項】

情報システムセキュリティ責任者は、構築する情報システムに重要なセキュリティ要件があると認めた場合に

は、当該情報システムのセキュリティ機能の設計について第三者機関によるセキュリティ設計仕様書（ST：

Security Target）の

ST 評価及びST 確認

を受けること。

■機器等の購入

【基本遵守事項】

統括情報セキュリティ責任者は、機器等の購入において、セキュリティ機能の要求仕様があり、総合評価落

札方式により購入を行う際には

、IT セキュリティ評価及び認証制度による認証

を取得しているかどうかを評

価項目として活用することを選定基準として定めること。

注）機器等：情報機器及びソフトウェア

■ソフトウェア開発

【基本遵守事項】

開発するソフトウェアに重要なセキュリティ要件がある場合には、これを実現するセキュリティ機能の設計に

ついて第三者機関によるセキュリティ設計仕様書（ST：Security Target）の

ST 評価及びST 確認

を受けるこ

と。

参照URL http://www.nisc.go.jp/active/general/pdf/K304-101.pdf

6

(7)

政府統一基準群改定を受けた経済産業省の対応

○IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リストの公表

経済産業省は、政府統一基準群の改定と同日（4月21日）に、政府機関においてCC認証

製

品の調達が必要と考えられる製品分野のリストを公表。

製品分野

名

スマートカード

（IC カード）

ファイアウォール

OS

（サーバOS に限る）

デジタル複合機（MFP）

不正侵入検知/防止シ

ステム（IDS/IPS）

データベース管理シス

テム（DBMS）

製品分野

定義

プラスチック製カー

ド等にIC チップを埋

め込み、情報を記

録できるようにした

製品

インターネットと内部

ネットワークの境界に

配置され、パケットの内

容と事前に定義された

ルールに基づきパケッ

ト通過を制御する製品

コンピュータのハード

ウェア制御・操作の

ために用いられる基

本ソフトウェア

プリンタ機能を標準で

有しスキャナ、FAX、コ

ピーのいずれか２つ以

上の機能を標準で装備

している製品

ネットワークやシステム

の稼動状況を監視し、

組織内のコンピュー

ターネットワークへの外

部からの侵入を報告、

防御する製品

共有データとしての

データベースを管理し、

データに対するアクセ

ス要求に応える製品

利用用途

住民基本台帳カー

ドやIC 旅券等、広く

国民に配布され身

分確認に利用され

る。または国民の情

報アクセスの認証

のために利用され

る

不正アクセスから保護

すべき重要度の高い情

報を扱う情報システム

を保護する

保護すべき重要度の

高い情報を扱う情報

システムの基盤とし

て稼動するOS

保護すべき重要度の

高い情報の複写やデ

ジタルデータ化、送信

等に利用される

ネットワーク上の通信

を監視するなどにより、

インターネットからの不

正アクセスを検知し防

止する

国民の個人情報等保

護すべき重要度の高い

情報をデータベースと

して保管するために利

用される（サーバOS 環

境下で稼働するものに

限る）

【製品分野リスト】

(8)

8 経済産業省の製品分野リスト作成の考え方

経済産業省の製品分野リスト作成の考え方

１．保護すべき重要度の高い情報の該当範囲

政府機関における保護すべき重要度の高い情報としては、一般的に、国民の生命・健康・財産に係る情報をはじめとする

個人情報、我が国の経済・企業活動に多大な影響を与えうる情報、政策意思決定に関する機微な情報などが考えられる。

（中略）

そのような情報については、意図しない公開すなわち漏えい等があってはならない機密性の高い情報であるといえる。

２．上記情報を扱う情報システムの構成要素である製品分野の特定

上記の保護すべき重要度の高い情報を扱う政府機関の情報システムにおいて、当該情報の処理、保管等に関わり、かつ

攻撃等により当該保護情報の漏えいや改ざんの被害を生じうる恐れのあることが技術的・経験的に判明している製品分野

に対しては、適切な情報セキュリティ対策が必要な製品として、CC 認証を取得するべきと考えられる。

具体的には、

① 情報システムの構成上、攻撃の脅威に曝されやすい製品分野

② 情報システムの基盤となる製品分野

③ 情報システムの中で保護すべき重要度の高い情報を保管しているため攻撃事例の報告が多い製品分野

といった考え方をもとに、CC 認証を取得するべき製品分野を特定する。

ただし、当該製品分野において、最新の脅威に対応している認証取得済みの製品の数が十分に調達可能なほど流通して

いない場合については、現時点での製品分野リストへの掲載を見合わせることとする。

(9)

経済産業省の製品分野リストの適用除外と今後の改定方針

【製品分野リスト活用における適用除外】

各府省庁は、原則として、情報システムを構成する機器の調達時に上記リストを活用することが必要であるが、下記適

用除外の例のように、CC 制度を利用する以外の手段で適切な情報セキュリティの確保及び国民への説明責任を果た

すことが可能であると判断する場合は、この限りではない。

○適用除外の例：

当該情報システムを構成する機器が、外部ネットワークから物理的に遮断されている、あるいは、CC 認証を取得しているファイアウォー

ルに保護されているなどで外部からの不正アクセスから保護されている、かつ当該機器が入退室可能な人員が厳格に制限された管理区域

に設置されているなど、当該機器自体のセキュリティ機能以外の手段で不正アクセスや攻撃から保護されている場合。

【製品分野リストの見直し】

本製品分野リストは、IT 製品分野ごとのCC 取得製品件数の増加及び製品の普及、セキュリティ上の障害発生状況等

を踏まえるとともに、暗号モジュール試験及び認証制度（JCMVP）などCC 制度以外の第三者認証制度の活用も視野に

入れ、定期的又は必要に応じて見直しを行う。

http://www.meti.go.jp/policy/netsecurity/cclistmetisec2011.pdf

◎経済産業省の製品分野リストは、以下のHPをご参照下さい。

(10)

10 経済産業省の製品分野リスト公表に伴うIPAの対応

経済産業省の製品分野リスト公表に伴うIPAの対応

IPAでは、経済産業省より公開された「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」に示された

6つの製品分野の内、スマートカードを除く5つの製品分野における個別の認証取得製品リスト及びCC認証制度における

セキュリティ機能一覧を4月21日付けで公開。

（スマートカードについては、各府省において必要に応じて作成されるProtection Profileを参照するよう注釈を記載）

セキュリティ機能の名称解説セキュリティ監査監査ログデータの生成、格納、保護、分析に関する機能要件。送受信の否認不可利用者データを評価対象外へエクスポート（例えばバックアップ）する際の、送出管理ルール、データ保護の指定などデータを送信あるいは受信したことの否認を防止するための、データ送受信の証拠の生成と検証に関する機能要件。暗号化サポート機能暗号操作に必要となる暗号アルゴリズムや、暗号鍵の生成・配布・保管・破棄に関する機能要件。アクセス制御利用者データを格納したオブジェクト（例えばファイル）に対するアクセス制御の方針と規則に関する機能要件。データ認証データの有効性を示す証拠（例えばデジタル署名）の生成と検証に関する機能要件。送出データ保護利用者データを評価対象外へエクスポート（例えばバックアップ）する際のアクセス制御などに関する機能要件。情報フロー制御情報がセキュリティ方針を異にする領域間を流通する場合に、領域への情報の流通を方針に従い制御する機能要件。例えば、ファイアウォールやルータ機能などで使われる。入力データ保護利用者データを評価対象外から評価対象内部へインポート（例えばバックアップしたデータのリストア）する際の、データ取り込みのアクセス制御などに関する機能要件。内部転送データ保護利用者データが、物理的に分離した評価対象間で転送されるとき、そのデータを保護するために適用する規則や、データ転送時の完全性の監視に関する機能要件。残存情報保護残存情報（例えば、一度ハードディスクに記録され、使用されなくなった情報）が、完全に利用できないようにする機能要件。ロールバック例えば、データベースやファイルに対する処理中に障害が発生した場合に、行った操作や処理を、ある（時間や回数など）範囲まで実行前の状態に戻し、利用者データを救済する際の、アクセス制御などの指定や戻れる範囲などに関する機能要件。蓄積データ完全性評価対象内のメモリやディスクなどの記憶装置に蓄積された利用者データについて、主としてハードウェアの不調や誤りなど物理理的原因による、完全性誤りを監視する機能要件。転送データ機密性評価対象が外部通信路を経由して他の装置と利用者データの送信、受信を行うとき、その途中での利用者データの漏洩を防ぎ、利用者データの秘密性を保護する機能要件。転送データ完全性評価対象が外部通信路を経由して他の装置と利用者データの送信、受信を行うとき、指定された完全性を確保し利用者データの送受信を行い、指定した完全性を損なう事象が生じたかの検出と、検出された誤りの回復に関する機能要件。識別・認証評価対象の利用を許可する際に、利用者を正しく特定するための機能要件。利用者を識別し認証する機能要件に加えて、認証失敗時の取扱いや、パスワードの品質チェックなど、認証機能を補強する機能要件が含まれる。セキュリティ管理セキュリティ機能を適切に動作させるために必要な管理機能を特定し、その使用を制限する機能要件。セキュリティ機能で使用する管理データの設定変更、セキュリティ機能の動作の変更、セキュリティ管理機能を使用できる役割の定義などの機能要件が含まれる。プライバシー保護利用者のプライバシー保護に関する機能要件。利用者を特定できないこと、操作と利用者の関連付けができないこと、利用者の操作が観察できないことを保証する機能要件が含まれる。セキュリティ機能保護例えば、情報資産を狙う侵入を防ぎ、証拠を監査データとして保存するセキュリティ機能を無力化させようとする攻撃に対抗して、セキュリティ機能自身を保護する機能要件。セキュリティ機能に対する攻撃からの保護、セキュリティ機能が使用するデータの保護、セキュリティ機能が依存する環境のテストなどの機能要件が含まれる。資源利用管理処理能力や格納容量など、必要な資源の可用性の維持と管理に関する機能要件。障害発生時の動作保証、サービス優先度の保証、使用する資源の保証に関する機能要件が含まれる。 TOEアクセス制御利用者セッションを制御するための機能要件。セッション確立、同時セッションの制限、セッションロックなどの機能要件が含まれる。高信頼パス/チャネル評価対象と利用者、及び評価対象と他のIT製品間で、信頼できる通信経路を生成するための機能要件。例えばSSL/TLS暗号通信など。

【CC認証制度におけるセキュリティ機能一覧】

(11)

製品名及びバージョン開発元 EAL 認証取得年月日認証報告書セキュリティ機能製品種別準拠PP ｾｷｭﾘﾃｨ監査送受信の否認不可暗号化機能ｱｸｾｽ制御ﾃﾞｰﾀ認証送出ﾃﾞｰﾀ保護情報ﾌﾛｰ制御入力ﾃﾞｰﾀ保護内部転送ﾃﾞｰﾀ保護残存情報保護ﾛｰﾙﾊﾞｯｸ蓄積ﾃﾞｰﾀ保護転送ﾃﾞｰﾀ機密性転送ﾃﾞｰﾀ完全性識別・認証ｾｷｭﾘﾃｨ管理ﾌﾟﾗｲﾊﾞｼｰ保護ｾｷｭﾘﾃｨ機能保護資源利用管理 TOEｱｸｾｽ制御高信頼ﾊﾟｽ /ﾁｬﾈﾙ

McAfee Application Control v5.0, Change Control v5.0, and Integrity Monitor v5.0 with McAfee Agent v4.5 and ePolicy Orchestrator v4.5 McAfee, Inc. EAL3+ ALC_FL R.2 14-Jan-11 www.commoncriteriaporta l.org/files/epfiles/mcafee -appl-v50-cert-eng.pdf ○ － ○ －－－－－－－－－－－ ○ ○ － ○ －－－ Host-based IDPS IronPort Email Security Appliances (ESA),

comprising the C160, C370, X1060, and X1070 appliance models, running IronPort AsyncOS software, version 7.1, and the C670 appliance model running IronPort AsyncOS version 7.3 Cisco Systems, Inc. EAL2+ ALC_FL R.2 1-Dec-10 www.commoncriteriaporta l.org/files/epfiles/st_vid1 0438-ci.pdf ○ － ○ －－－－－－－－－－－ ○ ○ － ○ －－－ Mail IDPS U.S. Government Protection Profile Intrusion Detection System System for Basic Robustness Environments, Version 1.7, July 25, 2007

FireEye 2000, 4000, and 7000 MAS and MPS with CMS v5.0 FireEye Incorporat ed EAL2+ ALC_FL R.2 11-Oct-10 www.commoncriteriaporta l.org/files/epfiles/st_vid1 0420-ci.pdf ○ － ○ －－－－－－－－－－－ ○ ○ － ○ －－ ○Network IDPS U.S. Government Protection Profile Intrusion Detection System System for Basic Robustness Environments, Version 1.7, July 25, 2007 Prism Microsystems EventTracker Version

6.3 Build 93 Prism Microsyst ems, Inc. EAL2+ ALC_FL R.2 11-Aug-10 www.commoncriteriaporta l.org/files/epfiles/prismmi cro-v63-cert-eng.pdf ○ －－－－－－－－－－－－－ ○ ○ － ○ －－－ Host-based IDPS CIMCOR CimTrak for Servers Version 2.0.6

(F) Cimcor, Inc. EAL4+ ALC_FL R.2 26-Jul-10 www.commoncriteriaporta l.org/files/epfiles/st_vid1 0303-vr.pdf ○ － ○ ○ －－－－ ○ － ○ －－－ ○ ○ － ○ － ○ － Host-based IDPS Sourcefire 3D System (Sourcefire Defense

Center: models DC500, DC1000, and DC3000; and Sourcefire 3D Sensor with IPS: models 3D500, 3D1000, 3D2000, 3D2100, 3D2500, 3D3500, 3D3800, 3D4500, 3D5800, 3D6500, and 3D9800) Version 4.8 Sourcefire, Inc. EAL2+A LC_FLR. 2 23-Jun-10 www.commoncriteriaporta l.org/files/epfiles/st_vid1 0334-vr.pdf ○ －－－－－－－－－－－－－ ○ ○ －－－ ○ ○Network IDPS U.S. Government Protection Profile Intrusion Detection System System for Basic Robustness Environments, Version 1.7, July 25, 2007