パブリックサービス業界において何がしかのITに関係する話をする際に、セキュリティの話は切っても切り離せないアジェンダとなります。 特に情報セキュリティに関しては、日本の政府機関(各府省庁)に対して、統一的な基準が定められています。通称「政府統一基準」です。これを知らないと話が始まらないので、必ず理解しておくようにしましょう。なお、政府統一基準の中身そのものは、内閣サイバーセキュリティセンター(NISC)のホームページを見てください。
政府統一基準は新しいセキュリティリスクに追随できるよう、約2年に一度改定されていますが、セキュリティの歴史とともにどういう歴史を追って作られてきたのかを見れば、その背景から必要なことが何かを読み解くことができます!ここでは、最新の政府統一基準はどういう観点で改定がさ慣れたのかについて私なりの考えをまとめてみました!
1.内閣サイバーセキュリティセンター(NISC)について
内閣サイバーセキュリティセンター(NISC)とは、日本政府が内閣官房に設置した組織です。インターネットの急速な利用拡大など、IT化が進展する中で、不正アクセス事案の発生やウイルスの蔓延など、セキュリティに関わる問題への危機感の高まりを受け組成された組織となります。
NISC組成の経緯
NISC組成の経緯は以下の通りです。
- 平成12年2月:内閣官房に「情報セキュリティ対策推進室」が設置される。
- 平成17年4月:「情報セキュリティ問題に取り組む政府の役割・機能の見直しに向けて」(平成16年12月7日IT戦略本部決定)に基づき、情報セキュリティ対策推進室を強化・発展させ、内閣官房に「情報セキュリティセンター」が設置される。
- 平成26年11月:「サイバーセキュリティ基本法」が成立。
- 平成27年 1月:内閣に「サイバーセキュリティ戦略本部」が設置され、内閣官房組織令に基づき、情報セキュリティセンターを改組し、内閣官房に「内閣サイバーセキュリティセンター(NISC)」が設置される。
NISC組成の目的
NISC組成にあたっての社会的な背景や課題として、ITの急速な発展と普及に伴い、ITは生活のあらゆる部分に浸透しいまや社会基盤として必要不可欠のものとなっていること、ITの重要性が増す反面、ITに障害が起きた場合には、国民生活や経済活動へ大きな打撃を与える可能性があること、官公庁や企業からの情報流出が発生しており、サイバーセキュリティの確保が、喫緊の課題となっていることを、NISCでは掲げています。
このような状況において、2014年11月、サイバーセキュリティ基本法が成立しました。同法に基づき、2015年1月、内閣に「サイバーセキュリティ戦略本部」が設置され、同時に、内閣官房に「内閣サイバーセキュリティセンター(NISC※)」が設置されました。
内閣サイバーセキュリティセンター(NISC)の主な役割
内閣サイバーセキュリティセンター(NISC)の役割は、官民における情報セキュリティ対策の推進に係る企画及び立案並びに総合調整を行うこと、日本の政府機関(各府省庁)に対して、情報セキュリティ対策を推進するための統一的な基準の策定、運用を行っていくことや、「GSOC」の運用を行っていくことがあげられます。
- サイバーセキュリティ政策に関する中長期計画や年度計画の立案
- サイバーセキュリティ技術動向等の調査・研究分析
- サイバーセキュリティ政策に関する国際連携の窓口機能
- 政府機関等の情報セキュリティ対策を推進するための統一的な基準の策定、運用及び監査
- サイバー攻撃等に関する最新情報の収集・集約
- 政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)の運用
- 重要インフラ行動計画に基づく情報セキュリティ対策の官民連携
- 標的型メール及び不正プログラムの分析
- その他サイバー攻撃事案の調査分析
2. 政府統一基準について
政府統一基準とは、日本の政府機関(各府省庁)に対して、情報セキュリティに関する統一的な基準を定めたものです。
政府統一基準策定の目的について、政府機関全体の統一的な枠組みを構築し、それぞれの府省庁の 情報セキュリティ水準の斉一的な引き上げを図ることを目的として策定したということが、NISCにおいて説明されています。
政府統一基準の正式名称
通称というか略称として「政府統一基準」と呼んでいますが、正式には『政府機関の情報セキュリティ対策のための統一基準群』といいます。
政府統一基準の歴史
政府統一基準の歴史は以下の通りです。
- 2005年 9月:「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)が策定される。
- 2005年12月:「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])が策定される。
- 2007年 6月:「政府機関の情報セキュリティ対策のための統一基準(第2版)」が策定される。
- 2008年 2月:「政府機関の情報セキュリティ対策のための統一基準(第3版)」が策定される。
- 2009年 2月:「政府機関の情報セキュリティ対策のための統一基準(第4版)」が策定される。
- 2011年 4月:「政府機関の情報セキュリティ対策のための統一管理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」が策定される。
- 平成24年(2013年) 4月:政府機関の情報セキュリティ対策のための統一基準群(平成24年度版)が策定される。※管理基準と技術基準
- 平成26年(2014年) 5月:「政府機関の情報セキュリティ対策のための統一基準群(平成26年度版)」が策定される。
- 平成28年(2016年) 8月:「政府機関の情報セキュリティ対策のための統一基準群(平成28年度版)」が策定される。
- 平成30年(2018年) 7月:「政府機関の情報セキュリティ対策のための統一基準群(平成30年度版)」が策定される。
平成28年版の特徴
政府統一基準(平成28年度版)は、「クラウドサービスの利用」の拡大を想定した見直しが行われました。
特に重要ポイントは、『4.1.4 クラウドサービスの利用』です。
目的・主旨として、『業務及び情報システムの高度化・効率化等の理由から政府機関において今後クラウドサービスの利用の拡大が見込まれている。クラウドサービスの利用にあたっては、クラウド基盤部分を含む情報の流通経路全般を俯瞰し、総合的に対策を設計(構成)したうえで、セキュリティを確保する必要がある。』という旨が定義されました。
3.政府統一基準の最新版
平成30年7月25日、政府統一基準 平成30年度版が策定されました。
平成30年版の特徴
政府統一基準(平成30年度版)は、主に利用者による情報の利用、端末、IoTといった、エンドポイントサイドのセキュリティに関する見直しが行われました。
①対象機関の範囲拡大
対象機関について、府省庁から、独法等も明確に対象となりました。
②インターネットからの分離
3章「情報の取り扱い」において、『機密情報を保存する場合は、暗号化したうえで、インターネットに接続しない端末やサーバに置くこと』という記載が追記されました。
『3.1.1 情報の取扱い 遵守事項(4) 情報の利用・保存』に以下の記載があります。
また、『機密情報を送信する場合、インターネットはだめでVPNなどを経由し、暗号化したうえで、情報セキュリティ責任者の指定の方法』で送信することが求められています。
『3.1.1 情報の取扱い 遵守事項(6) 情報の運搬・送信』に以下の記載があります。
③端末に関する記述追加
端末について、各機関支給端末以外の端末を用いることがあり得ますが、例えば、ベンダ―が持ち込む端末や、場合によってはBYODですね。これらの端末を利用することがあれば、各機関の支給端末なのかそうでないかにかかわらず、同等のセキュリティ水準を定義すべし、と明記されました。
『7.1.1 端末 遵守事項(4) 』に以下の記載があります。
④IoTに関する記述追加
IoTに関しては、「複合機・特定用途機器」の中で、IoT機器についてもシステム構成要素ととらえてセキュリティ対策を講ずることが重要であることが明記されました。
『7.1.3 複合機・特定用途機器遵守事項』に以下の記載があります。
0 件のコメント :
コメントを投稿