政府機関統一基準の策定目的(NISCの報道発表資料から引用)
政府機関統一基準の策定目的(NISCの報道発表資料から引用)
[画像のクリックで拡大表示]

 政府の情報セキュリティ政策会議(議長は内閣官房長官)は9月15日,第2回会合を開催し,政府機関(各府省庁)のセキュリティを強化することを決定した。具体的には,同会議で定めたセキュリティに関する統一基準に基づいて各府省庁に対策を促す。対策状況は内閣官房情報セキュリティセンター(NISC)が検査する。各府省庁間のセキュリティ格差をなくし,政府全体のセキュリティ・レベルを向上することが狙い。

 情報セキュリティ政策会議とは,高度情報通信ネットワーク社会推進本部(IT戦略本部)の下に設けられた組織(関連記事)。議長は内閣官房長官。情報セキュリティに関する基本戦略を策定/実行することが目的。同会議で決定した事項は,政府の正式決定となる。

 第2回会合では,政府機関全体がすぐに到達すべきセキュリティ・レベルと,そのための対策をまとめた「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)」を定めた。そして同基準に基づいて,各府省庁は早急に対策を実施する必要があるとした。

 同基準には,以下のような内容が盛り込まれている。

  • 保有する情報の格付けと取り扱い制限に関する手順の整備
  • 情報の持ち出しなどに関する制限事項の強化
  • 情報システムへのアクセス制御やログ管理機能の導入
  • DoS(サービス妨害)攻撃対策の実施
  • 省庁ネットワークへの不用意な接続の禁止
  • 外部委託する際の,適切な契約書の取り交わし

 同基準に基づいた対策が実施されているかどうかは,本年度内(2006年3月まで)をめどにNISCが検査する。検査結果は情報セキュリティ政策会議に報告する。

 なお,同基準は「2005年項目限定版」とされているように,すぐに対策すべき内容だけをまとめた暫定的な基準である。システム開発および整備に関する対策などを追加した“全体版”は2005年12月末までに策定する予定。加えて,実施すべき対策の具体的な手順をまとめたガイドラインを順次作成する予定である。

 第2回会合では,重要インフラにおけるセキュリティ対策の基本方針も決定した。今まで重要インフラのセキュリティ対策は,2000年にまとめられた「重要インフラのサイバーテロ対策に係る特別行動計画(以下,「特別行動計画」)」に基づいて実施されていた。しかしながら特別行動計画は,重要インフラに定義される業種・業務分野や想定している脅威の範囲が狭いとして,現状にはそぐわなくなっている。

 このため同会合では,特別行動計画を発展・強化させた新たな行動計画をとりまとめることを決定した。具体的には,IT戦略本部の専門調査会である「情報セキュリティ基本問題委員会」が4月22日に発表した「第2次提言」に沿った内容になる(関連記事)。

 第2次提言では,特別行動計画で「情報通信・金融・航空・鉄道・電力・ガス・行政サービス(地方公共団体)」の7分野に限定している重要インフラに,「医療・水道・物流等」を加えるべきとしている。また,「想定される脅威」として,特別行動計画ではサイバー攻撃だけを考慮していたが,提言では,人為的ミスや自然災害といった,「IT障害」の原因となるものすべてを脅威として想定すべきとしている。

◎参考資料
第2回会合(平成17年9月15日)