図●政府サイバーセキュリティ戦略本部で示されたペネトレーションテストの方針
図●政府サイバーセキュリティ戦略本部で示されたペネトレーションテストの方針
[画像のクリックで拡大表示]

 内閣サイバーセキュリティセンター(NISC)が、2015年度内に全省庁のシステムを対象とした大規模な疑似攻撃テスト(ペネトレーションテスト)を実施することが2015年5月27日、明らかになった()。5月25日に開かれたサイバーセキュリティ戦略本部第2回会合で方針が示された(関連記事:政府が新たな「サイバーセキュリティ戦略」案を公表、6月下旬決定へ)。

 政府が全省庁を対象にペネトレーションテストを実施するのは今回が初めて。脆弱性を早期に発見し、情報漏えいやシステム障害などの発生を未然に防ぐ狙いがある。

 NISCによれば、ペネトレーションテストは全省庁の情報システムを対象に2015年度内に順次実施する。結果は2016年度にサイバーセキュリティ戦略本部に報告する。1省庁につき最低1システムを原則として、省庁側と調整しながら選定する。Webサイトのような一般向けのシステムになることもあれば、省庁内業務システムになる場合もあるという。

 NISCが委託する外部セキュリティベンダーの専門家が攻撃手法を研究したうえで、対象システムに対して疑似的なサイバー攻撃を実行する。省庁側のサイバーセキュリティ対策を検証し、問題があれば改善に必要な助言を行う。

 ペネトレーションテストを中心とした「各府省庁ネットワークに接続されているコンピュータシステムに対する侵入実験及び監査」について、2014年度補正予算と2015年度予算で合計4億2800万円を計上している。

 委託先のセキュリティベンダーはファイブドライブ(東京・千代田)と三井物産セキュアディレクションの2社。