政府の情報セキュリティ政策会議は12月13日に第3回会合を開催し,情報セキュリティ問題に関する政府の中長期的な戦略を定めた「第1次情報セキュリティ基本計画」の案についてパブリック・コメントを募集することを決定した。2006年1月末をめどに基本計画の内容を確定し,2006年4月から実施する。
情報セキュリティ政策会議(以下,政策会議)とは,高度情報通信ネットワーク社会推進本部(IT戦略本部)に設けられた組織(関連記事)。議長は内閣官房長官。情報セキュリティに関する基本戦略を策定/実行することが目的。同会議で決定した事項は,政府の正式決定となる。
政策会議では第1次情報セキュリティ基本計画を策定するために,セキュリティ文化専門委員会と技術戦略専門委員会の2つの委員会を2005年7月に設置。委員会の検討結果は11月に公表された(関連記事)。この検討結果を踏まえて,政策会議では基本計画案を策定した。
第1次情報セキュリティ基本計画では,今後3年間に取り組む重点政策の方向性を提示。具体的には,以下のような取り組みを実施することを政府に求める。
- 「政府機関の情報セキュリティ対策のための統一基準」に基づいた各省庁の検査・評価,勧告を通じた改善プロセスの確立
- 地方公共団体における情報セキュリティ監査実施の推進
- 重要インフラ分野における情報共有・分析機能の整備,横断的な「重要インフラ連絡協議会(CEPTOAR-Council)」(仮称)の創設
- 企業の情報セキュリティ対策レベルを政府調達の入札条件などに設定
- 情報セキュリティ教育の推進,「情報セキュリティの日」の創設といった啓発活動
- 情報セキュリティ関連の新たな研究開発・技術開発の推進
- 情報セキュリティの資格制度などを通した情報セキュリティ人材の育成
- 国際的な安全・安心の基盤作りなどへの貢献
- サイバー犯罪の取締り強化および権利利益の保護・救済
加えて政策会議では,「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」の案についてもパブリック・コメントを募集することを決定した。「安全基準等」とは,重要インフラの各事業分野において必要な情報セキュリティ対策の水準を明示したもの。この基準を策定するための指針案が,今回発表された「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」(案)である。
「第1次情報セキュリティ基本計画」(案)および「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定のための指針」(案)への意見は,メールやファックス,郵送で受け付ける。締め切りは1月13日正午。フォーマットや送付先は内閣官房情報セキュリティセンター(NISC)のページに記載されている。
同日,「政府機関の情報セキュリティ対策のための統一基準(2005年12月版 全体版初版)」と「重要インフラの情報セキュリティ対策に係る行動計画」について政策会議決定がなされ,政府としての正式決定となった。
「統一基準」の限定版については9月の第2回会合で決定している(関連記事)。今回の全体版では,(1)調達・開発(機器などの購入,ソフトウエア開発,外部委託)にかかわる情報セキュリティ対策,(2)情報システムのライフ・サイクル(計画,設計,構築,運用,廃棄)を通じたセキュリティ要件,(3)BCP(事業継続計画)との整合性の確保---などを追加した。
「重要インフラの情報セキュリティ対策に係る行動計画」は,2000年にまとめられた重要インフラのセキュリティ対策「重要インフラのサイバーテロ対策に係る特別行動計画」を発展・強化させた新たな行動計画。政策会議の第2回会合で決定された「重要インフラの情報セキュリティ対策に係る基本的考え方」を踏まえて策定された(関連記事)。
従来の特別行動計画では,想定される脅威をサイバー攻撃に限定していた。今回決定された行動計画は,サイバー攻撃だけではなく,「非意図的要因」や災害に起因する「IT障害(ITの機能不全が引き起こすサービスの停止や機能の低下)」全般から重要インフラを防護するための横断的な計画であるとしている。
◎参考資料
◆第3回情報セキュリティ政策会議を開催
◆会議終了後の報道発表資料(PDFファイル)
◆「第1次情報セキュリティ基本計画」(案)に関する意見の募集
◆「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定のための指針」(案)に関する意見の募集
